Для полноценной работы системы Indeed Certificate Manager необходимо наличие определенных прав доступа к объектам Active Directory. В соответствии с принятой в вашей компании политикой безопасности, вы можете распределить привилегии между несколькими сервисными учетными записями, либо создать сервисную учетную запись с максимальным набором прав на управление системой.
Создайте сервисную учетную запись (например, servicecm), от имени которой будут выполняться операции сохранения и чтения данных в хранилище Active Directory.
Выдайте созданной сервисной учетной записи (servicecm) необходимые права для работы с объектом (доменом, контейнером, подразделением), в котором будут располагаться пользователи Indeed Certificate Manager. Эта учетная запись будет использоваться для чтения и записи атрибутов пользователей.
Для этого выполните следующее:
Прочитать все свойства (Read all properties).
По умолчанию разрешение на чтение всех свойств пользователя имеется у всех учетных записей домена. |
Установите одинаковый набор прав сервисной учетной записи для каждого объекта (домена, контейнера или подразделения), в котором располагаются пользователи Indeed CM. |
Если в домене чтение всех свойств пользователя запрещено политиками безопасности, то выдайте сервисной учетной записи права на чтение только необходимых атрибутов пользователей, описанных ниже в таблице и атрибутов объекта (домена, контейнера или подразделения), в котором располагаются пользователи Indeed CM.
Для области применения Дочерние объекты: Пользователь (Descendant user objects).
Приведены отображаемые имена LDAP (LDAP Display Name). Предоставление прав доступа к набору свойств значительно улучшает производительность и упрощает управление безопасностью (cм. Наборы свойств Active Directory). |
Атрибуты, используемые Indeed CM при работе с каталогом пользователей.
Атрибут (LDAP Display Name) | Common Name | Комментарий |
---|---|---|
c | Country/Region или Country/Region Abbreviation | Входит в набор свойств «Личные сведения» (Personal Information). |
сanonicalName | Canonical Name | Входит в набор свойств «Открытые сведения» (Public Information). |
cn | Common Name | Входит в набор свойств «Открытые сведения» (Public Information). |
company | Company | Входит в набор свойств «Открытые сведения» (Public Information). |
department | Department | Входит в набор свойств «Открытые сведения» (Public Information). |
distinguishedName | Distinguished Name | Входит в набор свойств «Открытые сведения» (Public Information). |
givenName | Given Name | Входит в набор свойств «Открытые сведения» (Public Information). |
l | Locality Name | Входит в набор свойств «Личные сведения» (Personal Information). |
E-mail Addresses | Входит в набор свойств «Открытые сведения» (Public Information). | |
manager | Manager | Входит в набор свойств «Открытые сведения» (Public Information). |
objectClass | Object Class | Входит в набор свойств «Открытые сведения» (Public Information). |
objectGUID | Оbject GUID | Входит в набор свойств «Открытые сведения» (Public Information). |
objectSid | Object Sid | Входит в набор свойств «Общие сведения» (General Information). |
otherMailbox | Other Mailbox | Входит в набор свойств «Открытые сведения» (Public Information). |
proxyAddresses | Proxy Addresses | Входит в набор свойств «Открытые сведения» (Public Information). |
pwdLastSet | Pwd Last Set | Входит в набор свойств «Ограничения учетной записи» (Account Restrictions). |
sAMAccountName | SAM Account Name | Входит в набор свойств «Общие сведения» (General Information). |
sn | Surname | Входит в набор свойств «Открытые сведения» (Public Information). |
st | State or Province Name | Входит в набор свойств «Личные сведения» (Personal Information). |
streetAddress | Address (или Street) | Входит в набор свойств «Личные сведения» (Personal Information). |
telephoneNumber | Telephone Number | Входит в набор свойств «Личные сведения» (Personal Information). |
thumbnailPhoto или jpegPhoto | Picture | Входит в набор свойств «Личные сведения» (Personal Information). |
userAccountControl | User Account Control | Входит в набор свойств «Ограничения учетной записи» (Account Restrictions). |
userCertificate | User Certificate | Входит в набор свойств «Личные сведения» (Personal Information). |
userPrincipalName | User Principal Name | Входит в набор свойств «Открытые сведения» (Public Information). |