ADAM-Objekte umfassen Benutzerobjekte, UserProxy-Objekte und Gruppenobjekte.

Benutzerobjekte

Benutzer können mit der ADAM-ADSI-Bearbeitungskonsole genau wie bei der Erstellung von OEs erstellt werden. Benutzer können auch mit AD-Befehlszeilentools verwaltet werden, was den Umfang dieses Dokuments sprengt. Das einzige obligatorische Attribut für neue Benutzerobjekte ist cn, ein Kurzname oder der vollständige Name des Benutzers. Es gibt auch eine Vielzahl optionaler Attribute, die den Active Directory-Benutzerattributen ähneln. Sie können auf die vollständige Liste der Attribute zugreifen, indem Sie Eigenschaften aus dem Benutzerobjekt auswählen.

UserProxy-Objekte

Für die ServiceNow LDAP-Integration empfehlen wir die Verwendung von UserProxy- Objekten in ADAM, wodurch ein Proxy-Account erstellt wird, der mit dem zugehörigen AD-Benutzeraccount verknüpft ist. Auf diese Weise kann ADAM Anmeldeinformationen mit AD-Benutzernamen und Passwörtern aus der Domäne authentifizieren, ohne dass ServiceNow eine direkte Verbindung zum Domänencontroller herstellt. UserProxy- Objekte sind AD- und ADAM-Benutzerobjekten sehr ähnlich, außer dass sie keine Passwörter speichern und über ein Attribut objectSID verfügen, das die SID aus dem verknüpften AD-Benutzerobjekt enthält. So funktioniert der Proxy. UserProxy- Objekte werden mit der ADSIEdit -Konsole oder mit Befehlszeilentools erstellt. Dies kann jedoch langwierig sein. Es wird empfohlen, einen automatisierten Prozess wie unten definiert zu verwenden.

Gruppenobjekte

Gruppen werden mit der ADSIEdit-Konsole und den AD-Befehlszeilentools erstellt. Gruppenkonzepte ähneln AD und werden verwendet, um Gruppen und Mitglieder in ServiceNowzu integrieren. Der größte Unterschied besteht darin, dass ADAM-Gruppen Mitglieder aus ADAM oder aus vertrauenswürdigen AD-Domänen enthalten können.

Automatisierung der ADAM-Objekterstellung

Wenn Sie Active Directory-Konten mit ADAM synchronisieren möchten, empfehlen wir Ihnen die Verwendung von Microsoft ADAMSync Tool. Dies ist die häufigste Verwendung von ADAM für die ServiceNow LDAP-Integration.

Über Berechtigungsdelegierung

ADAM enthält einige integrierte Gruppen mit Standardberechtigungen. Diese Gruppen befinden sich im Container cn=roles,dc=myCompany,dc=adam. Diese ähneln Gruppen auf Domänenebene und haben Rechte für Objekte in der aktuellen Partition. Ähnlich wie bei AD-Gesamtstrukturen können Sie auch eine höhere Berechtigungsebene festlegen, indem Sie die Standardgruppen in cn=roles,cn=configuration,dc=myCompany,dc=adam verwenden. Sie müssen eine Verbindung zur Konfigurationspartition in ADSIEdit herstellen. Die Gruppe „Administratoren“ enthält standardmäßig das während des Setups angegebene Konto. Dieses Mitglied ist nicht immer sichtbar, da es über die Konfigurationsgruppen geerbt wird. Administratoren haben die vollständige Kontrolle über alle Partitionsobjekte. Die Gruppe „Leser“ enthält standardmäßig keine Mitglieder und hat Lesezugriff auf alle Objekte in der Partition. Die Benutzergruppe ist eine dynamische Gruppe, genau wie in Active Directory. Vorübergehend enthält sie alle in der Partition erstellten ADAM-Benutzer.