執行 Assign-HDEOnePasswrdSyncGroup.bat

對象

從 Windows Server Active Directory 同步使用者、密碼到 HENNGE Access Control 之客戶

目的

Assign-HDEOnePasswrdSyncGroup.bat 對 Active Directory 的執行目的有以下兩種:

1. 將欲進行同步的使用者統整到 Security Group  [ HDE One Password Sync Group ] 。

2. 使用 Windows Server 2008R2・2012・2012R2 的情況,
啟用在密碼重設時將已經雜湊化(Hash)的密碼儲存於  [ UnixUserPassword ] 屬性中的功能。 (注意事項 1)

注意事項

1. 透過同步 [UnixUserPassword] 屬性至 HENNGE Access Control,可以達到密碼同步的功能。
由於 Windows Server 2016 及其後續版本的 Windows Server 已經停止提供 [Unix ID 管理組件服務([ Unix Microsoft ID Management Component ])] 服務,因此需要額外安裝 HENNGE 自行開發的 dll 到所有的 Windows Server Active Directory 上。
請參照下面連結文章中的詳細步驟進行操作。

在 Active Directory 上安裝 HDEPasswordFilter.dll(適用於 Windows Server 2016版本以後)

2.  需具有 [ Domain Admins ] 或 [ Enterprise Admins ] 權限的使用者來執行。

3. 本篇文章的內容是根據 2019 年 3 月的產品資訊所寫成,今後可能不經預告進行變更。

詳細步驟・説明

HENNGE 導入人員和您確認欲同步的使用者必要資訊後,會提供給您專屬的 HDEOnePasswrdSyncGroup.bat 

接著請依照下列步驟進行操作,將要同步的使用者分配到 Security Group [ HDE One Password Sync Group ] 中

事前確認事項

1. 使用 Windows Server 2008R2・2012・2012R2 的情況,需追加 [Unix ID 管理組件服務 [ Unix Microsoft ID Management Component ]) 。
2. 將在在 Active Directory 的網域控制站 (Domain Controller) 執行以下步驟。
3. 如果預計在 Active Directory 的網域控制站 (Domain Controller) 以外的 Windows Server 端進行以下操作,需先在該相關的 Windows Server 端的伺服器管理員 (server manager) 中執行 [添加角色與功能],安裝 Windows PowerShell 的 Active Directory 模組。

初次執行

1.  請將 [ HDEOneDirectorySyncTool ] 資料夾內的 [ HDEOne ] 資料夾檔案複製至已安裝 HENNGE Directory Sync tool 的終端機C槽直下的路徑 (C:\\ ),或者是網域控制站 (Domain Controller 的 C槽。

※ 無法直接複製內容到 C 槽的話,請選擇一個不含空格的路徑進行配置。

2. 以管理者身份啟動 PowerShell

3. 執行以下指令

> cd <[HDEOne] 的資料夾路徑>
> .\Assign-HDEOnePasswrdSyncGroup.bat

例 : 

> cd C:\HDEOne
> .\Assign-HDEOnePasswrdSyncGroup.bat

4. 確認 [ HDEOne ] 資料夾的 [ logs ] 資料夾,查看已輸出的執行紀錄

・log_assign_group.yyyy-mm-dd-hhmmss.xxxx.main.txt
・log_assign_group.yyyy-mm-dd-hhmmss.xxxx.sub.txt

請確認沒有出現 [ ERROR OCCURED ] 或 [ command fail ] 。

定期執行設定

系統在 Active Directory 追加使用者時,每次都需執行 Assign-HDEOnePasswrdSyncGroup.bat 。

因此為了避免遺漏操作,建議透過 Windows 工作排程器 (Task Scheduler) 定期執行 Assign-HDEOnePasswrdSyncGroup.bat 。

注意:這個步驟需要具有 [ Domain Admins ] 或 [ Enterprise Admins ] 權限的使用者來執行。

1. 登入已複製 [ HDEOne ] 資料夾的終端。

2. 開啟 [ 開始] → [ Windows 管理工具 ] → [ 工作排程器 ] 。

3. 點擊 [ 建立工作] 。

4. 在 [ 一般 ] 輸入以下項目。

・ [ 名稱 ] : 任意的工作名稱
・ [ 執行工作時的使用者帳號] : 擁有管理者權限的使用者
・ [ 不論使用者登入與否皆執行] : 點擊此選項
・ [ 以最高權限執行 ] : 點擊此選項

5. 在[ 觸發程序 ] 中點擊 [ 新增 ] 。

6. 輸入以下內容後點擊 [ 確定 ] 。

・ [ 執行工作的設定] : 毎日
・ [ 開始工作的時間 ] : 進行此設定當日的 0:00:00
・ [ 執行工作的間隔時間 ] : 1 日
・ [ 重複工作的間隔時間 ] : 1 小時
・ [ 工作的持續時間的最大值] : 1 日
・ [ 已啟用 ] : 點擊此選項

7.  在 [ 操作 ] 中點擊 [ 新增 ] 。

8. 輸入以下內容後點擊 [ 確定 ] 。

・ [ 程式或指定碼 ] : Assign-HDEOnePasswrdSyncGroup.bat 的路徑

          
這篇文章對您有幫助嗎?