Configurare un dominio
Microsoft Identity Manager (MIM) funziona con il dominio di Active Directory (AD). Dopo aver installato AD, verificare di disporre di un controller di dominio nel proprio ambiente per un dominio che è possibile amministrare.
Questo articolo illustra la procedura per preparare il domino alla collaborazione con MIM.
Creare account utente e gruppi di utenti
Tutti i componenti della distribuzione di MIM devono avere le proprie identità nel dominio. Ciò include i componenti MIM come il servizio e la sincronizzazione, SharePoint e SQL.
Nota
Questa procedura dettagliata usa nomi e valori di esempio della società Contoso. Sostituirli con i propri nomi e valori. Ad esempio:
- Nome del controller di dominio: corpdc
- Nome del dominio: contoso
- Nome del server del servizio MIM: corpservice
- Nome del server di sincronizzazione MIM: corpservice
- Nome SQL Server: corpsql
- Password: Pass@word1
Accedere al controller di dominio come amministratore di dominio (ad es. Contoso\Administrator).
Creare gli account utente seguenti per i servizi MIM. Avviare PowerShell e digitare lo script di PowerShell seguente per aggiornare il dominio.
import-module activedirectory $sp = ConvertTo-SecureString "Pass@word1" –asplaintext –force New-ADUser –SamAccountName MIMINSTALL –name MIMINSTALL Set-ADAccountPassword –identity MIMINSTALL –NewPassword $sp Set-ADUser –identity MIMINSTALL –Enabled 1 –PasswordNeverExpires 1 New-ADUser –SamAccountName MIMMA –name MIMMA Set-ADAccountPassword –identity MIMMA –NewPassword $sp Set-ADUser –identity MIMMA –Enabled 1 –PasswordNeverExpires 1 New-ADUser –SamAccountName MIMSync –name MIMSync Set-ADAccountPassword –identity MIMSync –NewPassword $sp Set-ADUser –identity MIMSync –Enabled 1 –PasswordNeverExpires 1 New-ADUser –SamAccountName MIMService –name MIMService Set-ADAccountPassword –identity MIMService –NewPassword $sp Set-ADUser –identity MIMService –Enabled 1 –PasswordNeverExpires 1 New-ADUser –SamAccountName MIMSSPR –name MIMSSPR Set-ADAccountPassword –identity MIMSSPR –NewPassword $sp Set-ADUser –identity MIMSSPR –Enabled 1 –PasswordNeverExpires 1 New-ADUser –SamAccountName SharePoint –name SharePoint Set-ADAccountPassword –identity SharePoint –NewPassword $sp Set-ADUser –identity SharePoint –Enabled 1 –PasswordNeverExpires 1 New-ADUser –SamAccountName SqlServer –name SqlServer Set-ADAccountPassword –identity SqlServer –NewPassword $sp Set-ADUser –identity SqlServer –Enabled 1 –PasswordNeverExpires 1 New-ADUser –SamAccountName BackupAdmin –name BackupAdmin Set-ADAccountPassword –identity BackupAdmin –NewPassword $sp Set-ADUser –identity BackupAdmin –Enabled 1 -PasswordNeverExpires 1 New-ADUser –SamAccountName MIMpool –name MIMpool Set-ADAccountPassword –identity MIMPool –NewPassword $sp Set-ADUser –identity MIMPool –Enabled 1 -PasswordNeverExpires 1
Creare i gruppi di sicurezza per tutti i gruppi.
New-ADGroup –name MIMSyncAdmins –GroupCategory Security –GroupScope Global –SamAccountName MIMSyncAdmins New-ADGroup –name MIMSyncOperators –GroupCategory Security –GroupScope Global –SamAccountName MIMSyncOperators New-ADGroup –name MIMSyncJoiners –GroupCategory Security –GroupScope Global –SamAccountName MIMSyncJoiners New-ADGroup –name MIMSyncBrowse –GroupCategory Security –GroupScope Global –SamAccountName MIMSyncBrowse New-ADGroup –name MIMSyncPasswordSet –GroupCategory Security –GroupScope Global –SamAccountName MIMSyncPasswordSet Add-ADGroupMember -identity MIMSyncAdmins -Members Administrator Add-ADGroupmember -identity MIMSyncAdmins -Members MIMService Add-ADGroupmember -identity MIMSyncAdmins -Members MIMInstall
Aggiungere i nomi SPN per abilitare l'autenticazione Kerberos per gli account di servizio
setspn -S http/mim.contoso.com Contoso\mimpool setspn -S http/mim Contoso\mimpool setspn -S http/passwordreset.contoso.com Contoso\mimsspr setspn -S http/passwordregistration.contoso.com Contoso\mimsspr setspn -S FIMService/mim.contoso.com Contoso\MIMService setspn -S FIMService/corpservice.contoso.com Contoso\MIMService
Durante l'installazione, è necessario aggiungere i record DNS 'A' seguenti per la corretta risoluzione dei nomi
- mim.contoso.com Puntare all'indirizzo IP fisico di corpservice
- passwordreset.contoso.com Puntare all'indirizzo IP fisico di corpservice
- passwordregistration.contoso.com Puntare all'indirizzo IP fisico di corpservice