Condividi tramite


Configurare un dominio

Microsoft Identity Manager (MIM) funziona con il dominio di Active Directory (AD). Dopo aver installato AD, verificare di disporre di un controller di dominio nel proprio ambiente per un dominio che è possibile amministrare.

Questo articolo illustra la procedura per preparare il domino alla collaborazione con MIM.

Creare account utente e gruppi di utenti

Tutti i componenti della distribuzione di MIM devono avere le proprie identità nel dominio. Ciò include i componenti MIM come il servizio e la sincronizzazione, SharePoint e SQL.

Nota

Questa procedura dettagliata usa nomi e valori di esempio della società Contoso. Sostituirli con i propri nomi e valori. Ad esempio:

  • Nome del controller di dominio: corpdc
  • Nome del dominio: contoso
  • Nome del server del servizio MIM: corpservice
  • Nome del server di sincronizzazione MIM: corpservice
  • Nome SQL Server: corpsql
  • Password: Pass@word1
  1. Accedere al controller di dominio come amministratore di dominio (ad es. Contoso\Administrator).

  2. Creare gli account utente seguenti per i servizi MIM. Avviare PowerShell e digitare lo script di PowerShell seguente per aggiornare il dominio.

    import-module activedirectory
    $sp = ConvertTo-SecureString "Pass@word1" –asplaintext –force
    New-ADUser –SamAccountName MIMINSTALL –name MIMINSTALL
    Set-ADAccountPassword –identity MIMINSTALL –NewPassword $sp
    Set-ADUser –identity MIMINSTALL –Enabled 1 –PasswordNeverExpires 1
    New-ADUser –SamAccountName MIMMA –name MIMMA
    Set-ADAccountPassword –identity MIMMA –NewPassword $sp
    Set-ADUser –identity MIMMA –Enabled 1 –PasswordNeverExpires 1
    New-ADUser –SamAccountName MIMSync –name MIMSync
    Set-ADAccountPassword –identity MIMSync –NewPassword $sp
    Set-ADUser –identity MIMSync –Enabled 1 –PasswordNeverExpires 1
    New-ADUser –SamAccountName MIMService –name MIMService
    Set-ADAccountPassword –identity MIMService –NewPassword $sp
    Set-ADUser –identity MIMService –Enabled 1 –PasswordNeverExpires 1
    New-ADUser –SamAccountName MIMSSPR –name MIMSSPR
    Set-ADAccountPassword –identity MIMSSPR –NewPassword $sp
    Set-ADUser –identity MIMSSPR –Enabled 1 –PasswordNeverExpires 1
    New-ADUser –SamAccountName SharePoint –name SharePoint
    Set-ADAccountPassword –identity SharePoint –NewPassword $sp
    Set-ADUser –identity SharePoint –Enabled 1 –PasswordNeverExpires 1
    New-ADUser –SamAccountName SqlServer –name SqlServer
    Set-ADAccountPassword –identity SqlServer –NewPassword $sp
    Set-ADUser –identity SqlServer –Enabled 1 –PasswordNeverExpires 1
    New-ADUser –SamAccountName BackupAdmin –name BackupAdmin
    Set-ADAccountPassword –identity BackupAdmin –NewPassword $sp
    Set-ADUser –identity BackupAdmin –Enabled 1 -PasswordNeverExpires 1
    New-ADUser –SamAccountName MIMpool –name MIMpool
    Set-ADAccountPassword –identity MIMPool –NewPassword $sp
    Set-ADUser –identity MIMPool –Enabled 1 -PasswordNeverExpires 1
    
  3. Creare i gruppi di sicurezza per tutti i gruppi.

    New-ADGroup –name MIMSyncAdmins –GroupCategory Security –GroupScope Global –SamAccountName MIMSyncAdmins
    New-ADGroup –name MIMSyncOperators –GroupCategory Security –GroupScope Global –SamAccountName MIMSyncOperators
    New-ADGroup –name MIMSyncJoiners –GroupCategory Security –GroupScope Global –SamAccountName MIMSyncJoiners
    New-ADGroup –name MIMSyncBrowse –GroupCategory Security –GroupScope Global –SamAccountName MIMSyncBrowse
    New-ADGroup –name MIMSyncPasswordSet –GroupCategory Security –GroupScope Global –SamAccountName MIMSyncPasswordSet
    Add-ADGroupMember -identity MIMSyncAdmins -Members Administrator
    Add-ADGroupmember -identity MIMSyncAdmins -Members MIMService
    Add-ADGroupmember -identity MIMSyncAdmins -Members MIMInstall
    
  4. Aggiungere i nomi SPN per abilitare l'autenticazione Kerberos per gli account di servizio

    setspn -S http/mim.contoso.com Contoso\mimpool
    setspn -S http/mim Contoso\mimpool
    setspn -S http/passwordreset.contoso.com Contoso\mimsspr
    setspn -S http/passwordregistration.contoso.com Contoso\mimsspr
    setspn -S FIMService/mim.contoso.com Contoso\MIMService
    setspn -S FIMService/corpservice.contoso.com Contoso\MIMService
    
  5. Durante l'installazione, è necessario aggiungere i record DNS 'A' seguenti per la corretta risoluzione dei nomi

  • mim.contoso.com Puntare all'indirizzo IP fisico di corpservice
  • passwordreset.contoso.com Puntare all'indirizzo IP fisico di corpservice
  • passwordregistration.contoso.com Puntare all'indirizzo IP fisico di corpservice