Zu den ADAM-Objekten gehören Anwenderobjekte, UserProxy-Objekte und Gruppenobjekte.

Anwenderobjekte

Anwender können mit der ADAM ADSI-Bearbeitungskonsole genau wie bei der OU-Erstellung erstellt werden. Benutzer können auch mit AD-Befehlszeilentools administriert werden, was den Umfang dieses Dokuments sprengt. Das einzige obligatorische Attribut für neue Anwenderobjekte ist cn, bei dem es sich um einen Kurznamen oder den vollständigen Namen des Anwenders handelt. Es gibt auch eine Vielzahl optionaler Attribute, die den Active Directory-Benutzerattributen ähneln. Sie können auf die vollständige Liste der Attribute zugreifen, indem Sie Eigenschaften aus dem Benutzerobjekt auswählen.

UserProxy-Objekte

Für die LDAP-Integration ServiceNow empfehlen wir die Verwendung von UserProxy- Objekten in ADAM, die ein Proxy-Konto erstellen, das eine Verknüpfung mit dem zugehörigen AD-Anwenderaccount herstellt. Auf diese Weise können Sie festlegen, dass ADAM die Anmeldeinformationen mit AD-Anwendernamen und Passwörtern aus der Domäne authentifiziert, ohne dass ServiceNow eine direkte Verbindung zum Domänencontroller herstellen muss. UserProxy- Objekte sind AD- und ADAM-Anwenderobjekten sehr ähnlich. Sie speichern keine Passwörter und verfügen über ein objectSID -Attribut, das die SID aus dem verknüpften AD-Anwenderobjekt enthält. So funktioniert der Proxy. UserProxy- Objekte werden mit der ADSIEdit -Konsole oder Befehlszeilentools erstellt, dies kann jedoch mühsam sein. Es wird empfohlen, einen automatisierten Prozess wie unten definiert zu verwenden.

Gruppenobjekte

Gruppen werden mit der ADSIEdit-Konsole und den AD-Befehlszeilentools erstellt. Gruppenkonzepte sind ähnlich wie AD und werden zur Integration von Gruppen und Mitgliedern in ServiceNowverwendet. Der größte Unterschied besteht darin, dass ADAM-Gruppen Mitglieder aus ADAM oder aus vertrauenswürdigen AD-Domänen enthalten können.

Automatisiert die ADAM-Objekterstellung

Wenn Sie Active Directory-Konten mit ADAM synchronisieren möchten, empfehlen wir die Verwendung von Microsoft ADAMSync Tool. Dies ist die häufigste Verwendung von ADAM für die ServiceNow LDAP-Integration.

Über Berechtigungsdelegierung

ADAM enthält einige integrierte Gruppen mit Standardberechtigungen. Diese Gruppen befinden sich im Container cn=roles,dc=myCompany,dc=adam. Diese ähneln Gruppen auf Domänenebene und haben Rechte für Objekte in der aktuellen Partition. Ähnlich wie bei AD-Gesamtstrukturen können Sie auch eine höhere Berechtigungsebene festlegen, indem Sie die Standardgruppen in cn=roles,cn=configuration,dc=myCompany,dc=adam verwenden. Sie müssen eine Verbindung zur Konfigurationspartition in ADSIEdit herstellen. Die Administratorgruppe enthält standardmäßig den Account, der während des Setups angegeben wurde. Dieses Mitglied ist nicht immer sichtbar, da es über die Konfigurationsgruppen geerbt wird. Administratoren haben vollständige Kontrolle über alle Partitionsobjekte. Die Gruppe „Leser“ enthält standardmäßig keine Mitglieder und hat Lesezugriff auf alle Objekte in der Partition. Die Gruppe „Anwender“ ist genau wie in Active Directory eine dynamische Gruppe. Sie enthält vorübergehend alle in der Partition erstellten ADAM-Anwender.