将用户帐户与Active Directory同步

更新时间:2020-05-15 09:40:24

除了如“用户管理”一章中所述手动添加用户外,MailStore Server还可将其内部用户数据库与公司的Active Directory同步。 在同步期间,将从Active Directory中读取用户信息,例如用户名和电子邮件地址,并将其记录在MailStore Server的用户数据库中。MailStore服务器不会对Active Directory本身进行任何更改。同步的范围可以通过过滤器来限制。 请注意: MailStore Server既不支持子域也不支持域信任。如果要使用“集成Windows身份验证”,则MailStore Server服务必须以“本地系统帐户”运行,并且该服务器必须是域的成员  

访问目录服务集成

  • 以MailStore服务器管理员身份登录到MailStore客户端。
  • 单击管理工具 > 用户和特权,然后单击目录服务。
  • 在“集成”部分中,将目录服务类型更改为Active Directory。
[caption id="attachment_1304" align="aligncenter" width="1266"] 将用户账户与AD同步-1[/caption]

连接到Active Directory

为了同步,MailStore Server需要有关如何连接到Active Directory的信息。
  • Active Directory域控制器的服务器(可选) DNS名称或IP地址。如果MailStore Server计算机是Active Directory的成员,则将自动检测到此设置。
  • 协议 的协议用于与Active Directory域控制器进行通信。
    • LDAP 访问Active Directory时的默认协议。尽管连接的某些部分未加密,但实际有效负载已加密。
    • LDAPS 附加SSL安全版本。请注意,需要正确配置的证书基础结构,MailStore Server计算机必须在该基础结构中将域控制器的证书分类为可信任的。
  • 基本DN(可选) 您的Active Directory的基本DN。通常,基本DN可以从Active Directory域名派生。例如,如果Active Directory域名是company.local,则基本DN通常是dc = company,dc = local。如果可以访问Active Directory域控制器,也可以通过单击文本字段左侧的按钮来选择基本DN。如果MailStore Server计算机是Active Directory的成员,则将自动检测到此设置。
  • 身份验证 定义MailStore Server服务应如何向Active Directory标识自身:
    • 标准身份验证 如果MailStore Server没有直接安装在Active Directory域控制器上,则需要使用标准身份验证。在这种情况下,请填写用户名和密码字段。以UPN表示法输入用户名,例如Administrator@company.local
    • Windows身份验证 如果MailStore Server直接安装在Active Directory域控制器上,则MailStore Server服务已经具有使用Windows身份验证针对Active Directory进行身份验证所需的特权。

用户数据库同步

如上所述配置连接设置之后,您可以在本节中为Active Directory同步指定过滤条件。
  • 仅同步Microsoft Exchange用户同步将 仅考虑具有Active Directory中配置的电子邮件地址的用户帐户。仅当所有Active Directory用户也应同时创建为MailStore Server用户时,才清除此复选框。
    • 同步仅在地址列表中可见的用户同步将 仅考虑Active Directory用户帐户,而其Exchange邮箱未从Exchange地址列表中隐藏。仅当同时启用了“仅同步Microsoft Exchange用户”选项时,才能启用此选项。
  • 仅同步启用的用户同步 将仅考虑在Active Directory中启用的用户帐户。如果应存档某些Exchange邮箱(默认情况下其Active Directory用户帐户已停用),则停用此选项可能很有用。
  • 仅同步这些组 如果只希望将其成员创建为MailStore用户,则选择一个或几个Active Directory安全组。这样,可以将某些Active Directory帐户(例如系统帐户)从同步到MailStore中排除。
    注意:如果MailStore服务器计算机是域的成员,而不是用户从中进行同步的域,则可能无法选择通用组。然后可能会显示错误代码1355的错误。
  • 用户名格式 选择应遵循的命名方案MailStore用户名:
    • SAM帐户名 Windows 2000以前的用户名。
    • 用户主体名称(UPN) Windows用户名,包括域,例如jane.doe@example.com
    • 用户主体名称(UPN)本地部分 Windows用户名(不包括域),例如jane.doe

选项

  • 在MailStore服务器中自动删除用户在 这里,您可以选择是否通过同步在Active Directory中删除的用户也将在MailStore用户数据库中删除。如果此类用户的存档文件夹已包含存档的电子邮件,则在MailStore中将仅删除用户条目,而不删除其存档文件夹。此外,仅将其身份验证方法设置为目录服务的 MailStore用户将被删除。

分配默认权限

默认情况下,已从Active Directory同步到MailStore Server的用户具有登录MailStore Server的权限以及对自己的用户归档的读取访问权限。 您可以在同步之前配置这些默认特权,例如,将特权“存档电子邮件”分配给所有新用户。为此,请单击默认权限...

运行目录服务同步

单击“测试设置”以检查同步配置和Active Directory返回的结果,而无需实际提交对MailStore Server用户数据库的任何更改。 要最终运行同步,请单击立即同步。结果显示为已提交到MailStore Server用户数据库的所有更改。 [caption id="attachment_1305" align="aligncenter" width="700"] 将用户账户与AD同步-2[/caption]  

使用Active Directory凭据登录

同步之后,MailStore用户可以使用其Active Directory用户名和Active Directory密码通过标准身份验证登录到MailStore Server 。 若要使用Windows身份验证,要求客户端和MailStore Server计算机是同一域的成员,并且必须在域控制器上对客户端进行身份验证。