使用 Active Directory 同步用户账户

更新时间：2025-12-03 15:33:32

除了按照章节“用户管理”中所述的手动添加用户外User Management,MailStore Server 还可以将其内部用户数据库与组织的 Active Directory 同步。

同步期间,用户信息(如用户名和电子邮件地址)会从 Active Directory 复制到 MailStore Server 的用户数据库中。这样,用户可以使用其Active Directory凭据登录MailStore Server,例如,也可以自动将电子邮件分配给相应的用户存档。MailStore Server 对 Active Directory 本身没有进行任何更改。通过筛选器可以限制同步的范围。

 

请注意：MailStore Server 不支持子域名和信任域名。 MailStore Server 服务必须以“本地系统账户”形式运行,且如果需要使用“集成版 Windows 认证”,服务器必须是该域的成员。

访问目录服务集成

• 以 MailStore 服务器管理员身份登录 MailStore 客户端。
• 点击“管理工具” > “用户与归档” > “目录服务”。
• I在“集成”部分中,将目录服务类型更改为 Active Directory。

 

与Active Directory的连接

对于同步的 MailStore Server,需要有关如何连接到 Active Directory 的信息。

• 服务器(可选)
  Active Directory 域控制器的 DNS 名称或 IP 地址。如果 MailStore Server 设备是 Active Directory 的成员,则此设置将自动被检测到。
• 协议
  用于与 Active Directory 域控制器通信的协议。
  • LDAP
    访问 Active Directory 时的默认协议。尽管连接的部分未加密,但实际有效载荷已加密。
  • LDAPS
    此外,SSL 安全版本。请注意,需要具备正确配置的证书基础设施,其中 MailStore Server 计算机必须将域控制器的证书归类为可信。
• 基础-DN(可选)
  通常可以从 Active Directory 域名中导出 Base DN。例如,如果 Active Directory 域名是 comporate.local,则 Base DN 通常为 dc=company,dc=local。如果可访问 Active Directory 域控制器,则可以通过点击文本字段左侧的按钮来选择 Base DN。如果 MailStore Server 设备是 Active Directory 的成员,则此设置将自动被检测到。
• 身份验证
  定义 MailStore Server 服务应如何向 Active Directory 自我识别:
  
  
  • 标准认证
    如果 MailStore Server 未直接安装在 Active Directory 域控制器上,则需要使用标准身份验证。在这种情况下,填写用户名和密码字段;在UPN表示法中输入用户名,例如。管理员@company.local
  • Windows 身份验证
    如果 MailStore Server 直接安装在 Active Directory 域控制器上,则 MailStore Server 服务已具备使用 Windows 身份验证对 Active Directory 进行身份验证所需的权限。

用户数据库同步

配置上述连接设置后,您可以在本节中为 Active Directory 同步指定筛选条件。

• 仅同步 Microsoft Exchange 用户
  只有在 Active Directory 中配置了电子邮件地址的用户账户,该同步功能才会被考虑。只有在所有 Active Directory 用户均以 MailStore Server 用户身份创建时,才清除此复选框。
  • 仅在地址列表中同步显示的用户
    只有 Active Directory 用户账户才会通过同步进行考虑,其 Exchange 邮箱在 Exchange 地址列表中不会隐藏。只有在仅启用“同步”Microsoft Exchange用户该选项的情况下,才能启用此选项。
• 仅同步已启用的用户
  只有在 Active Directory 中启用的用户账户才会通过同步进行考虑。如果某些 Exchange 邮箱应被归档,其 Active Directory 用户账户默认被停用,则此选项可能非常有用。
• 仅同步这些组
  如果只希望创建其成员为 MailStore 用户,请选择一个或多个 Active Directory 安全组。这样可以排除某些 Active Directory 账户与 MailStore 同步,例如系统账户。

  注意:当 MailStore Server 计算机是域成员时,该域不是用户同步的域,因此 Universal 组可能无法选择。届时可能会显示错误代码1355的错误。

• 用户名格式
  选择以下的 MailStore 用户名命名方案:
  • SAM 账户名称
    Windows 2000 前用户名。
  • 用户名(UPN)
    包含域名(例如 jane.doe@example.com)的 Windows 用户名
  • 用户主名(UPN)本地零件
    Windows 用户名(不包括域名),例如 jane.doe

身份验证

• 方法
  在这里,您可以选择从 Active Directory 同步的用户将如何进行身份验证。
  • 科尔贝罗斯 / NTLM
    使用此选项,用户可以直接登录到 MailStore Server,并保留其 Active Directory 凭据。提供的凭据由 MailStore Server 转接至 Active Directory 进行验证。
  • AD FS(OpenID Connect)
    如果您的公司采用Active Directory Fedire服务(AD FS),用户也可以通过 AD FS 使用 OpenID Connect 登录 MailStore Server。为此,您必须配置您的广告FS之后在 MailStore Server 中输入以下参数。
    • 发现URI
      可访问 AD FS 的 URI。通常,这是AD FS服务器的完全限定域名,随后是路径/adfs,例如 https://adfs.example.com/adfs。必须信任AD FS所使用的证书。
    • 客户端ID
      Client IdentifierApplication Group已为 AD FS 中的 MailStore Server 创建的应用程序组客户端标识符。
    • 重定向
      Redirect-URIApplication Group已在应用程序组中配置的重定向-URI。
    • 登录时始终需要凭据
      如果启用此选项,用户在登录 MailStore 服务器时必须随时通过 AD FS 进行身份验证。

  请注意:使用OpenID Connect验证用户时,由于技术原因,无法通过IMAP访问该存档。

选项

• 自动删除 MailStore Server 中的用户
  在这里,您可以选择在 Active Directory 中已删除的用户是否也会通过同步方式在 MailStore Server 用户数据库中被删除。如果超出已配置设置的范围,用户也将被删除。
  只有将其身份验证方法设置为目录服务的 MailStore Directory ServicesServer 用户才会被删除。
  如果该用户的存档文件夹已包含存档邮件,则只有用户条目但未包含其存档文件夹的邮件将被删除。

分配默认权限

默认情况下,已从 Active Directory 同步到 MailStore Server 的用户有权登录 MailStore Server,并有权读取对其自身用户存档的访问权限。
例如,您可以在同步之前配置这些默认权限,Archive E-mail以便将权限归档电子邮件分配给所有新用户。要执行此操作,请单击默认权限...
有关管理用户权限及其效果的更多信息,请参阅“用户管理”章节,Users, Folders and Settings这些章节还包含编辑现有权限的详细信息。

运行目录服务同步

单击测试设置以检查同步配置以及由 Active Directory 返回的结果,而实际上并未对 MailStore Server 用户数据库进行任何更改。

要最终运行同步,请立即点击同步。结果显示了对 MailStore Server 用户数据库进行的任何更改。

 

使用 Active Directory 凭据登录

同步后,MailStore 用户可以使用其 Active Directory 用户名和 Active Directory 密码登录 MailStore Server。

要将单签名开启(SSO)与Windows-Authentication配合使用,客户端和MailStore Server计算机必须属于同一域,且客户端必须在域控制器处进行身份验证。此外,还需要根据文章“MailStore Outlook插件部署”中所述的配置步骤。