Modificación de valores de registro cifrados

Editar en línea

Para modificar los valores de registro sin cifrar, siga estos pasos:

Procedimiento

  1. En el menú Registro de agentes, escriba A para mostrar el menú Configuración del registro sin cifrar.
    Elementos de registro del agente
-----------------------------------
01. CreateUNCHomeDirectories  'FALSE'
02. DeleteUNCHomeDirectories  'FALSE'
03. delRoamingProfileOnDeprov'FALSE'
04. delUNCHomeDirOnDeprov'FALSE'
05. ForceRASServerLookup      'FALSE'
06. ForceTerminalServerLookup 'FALSE'
07. IsRUSRunning              'TRUE'
08. MailboxPermissionsEnabled	'FALSE'
09. ManageHomeDirectories     'FALSE'
10. NotifyIntervalSeconds     '300'
-----------------------------------
           Página 1 de 3

A Añadir nuevo atributo
B. Modificar valor de atributo
C. Eliminar atributo

D. Página siguiente

X. Terminado

Seleccione la opción de menú:D
Elementos de registro del agente
------------------------------------
11. SupportedProxyEmailTypes	'STMP:,X400:'
12. ReconHomeDirSecurity      'FALSE'
13. ReconPrimaryGroup         'TRUE'
14. SearchExchangeApiValues   'False'
15. SearchPasswordSettings    'FALSE'
16. UnlockOnPasswordReset     'FALSE'
17. useDefaultDC'FALSE'
18. useSSL'FALSE'
19. WtsDisableSearch          'TRUE'
20. WtsEnabled                'FALSE'
-------------------------------------
           Página 2 de 3

A  Añadir nuevo atributo
B.  Modificar valor de atributo
C.  Eliminar atributo

E.  Página anterior

X.  Terminado

Seleccionar opción de menú:
    Elementos de registro del agente
-----------------------------------
01. CreateUNCHomeDirectories  'FALSE'
02. DeleteUNCHomeDirectories  'FALSE'
03. delRoamingProfileOnDeprov'FALSE'
04. delUNCHomeDirOnDeprov'FALSE'
05. ForceRASServerLookup      'FALSE'
06. ForceTerminalServerLookup 'FALSE'
07. ManageHomeDirectories     'FALSE'
08. NotifyIntervalSeconds     '300'
09. ReconHomeDirSecurity      'FALSE'
10. ReconPrimaryGroup         'TRUE'
-----------------------------------
           Página 1 de 3

A Añadir nuevo atributo
B. Modificar valor de atributo
C. Eliminar atributo

D. Página siguiente

X. Terminado

Seleccione la opción de menú:D
Elementos de registro del agente
------------------------------------
11. SearchPasswordSettings    'FALSE'
12. UnlockOnPasswordReset     'FALSE'
13. useDefaultDC'FALSE'
14. useSSL'FALSE'
15. WtsDisableSearch          'TRUE'
16. WtsEnabled                'FALSE'
-------------------------------------
           Página 2 de 3

A  Añadir nuevo atributo
B.  Modificar valor de atributo
C.  Eliminar atributo

E.  Página anterior

X.  Terminado

Seleccionar opción de menú:
  2. Especifique la letra de la opción de menú para la acción que desea realizar en un atributo.
    Tabla 1. Descripciones de las opciones de configuración de atributos
    Opción Tarea de configuración
    A Añadir nuevo atributo
    B Modificar valor de atributo
    C Eliminar atributo
  3. Especifique el nombre del elemento de registro y pulse Intro.
  4. Si ha seleccionado la opción A o B, escriba el valor del elemento del registro y pulse Intro.

    Se volverá a visualizar el menú de valores de registro no cifrados con los nuevos valores.

Resultados

En la tabla siguiente se describen las claves de registro y sus valores disponibles:
Tabla 2. Descripciones de las claves del Registro
Clave Descripción
CreateUNCHomeDirectories Si esta clave se establece en TRUE, la clave permite la creación del directorio inicial UNC. El valor predeterminado es false.
DeleteUNCHomeDirectories Si esta clave se establece en TRUE, la clave permite la supresión del directorio inicial UNC al suprimir. El valor predeterminado es false.
delRoamingProfileOnDeprovision Si esta clave se establece en TRUE, la clave permite la supresión de directorios de perfil de usuario cuando se elimina el suministro del usuario. Después de suprimir el usuario satisfactoriamente de Active Directory, el adaptador suprime el directorio inicial, los subdirectorios y los archivos del usuario.

Si esta clave se establece en FALSE, o si la clave no existe, el adaptador no suprime el directorio inicial del usuario. El valor predeterminado es false.
delUNCHomeDirOnDeprovision Si esta clave se establece en TRUE, la clave permite la supresión del directorio inicial UNC cuando se elimina el suministro del usuario. Después de suprimir el usuario satisfactoriamente de Active Directory, el adaptador suprime el directorio inicial, los subdirectorios y los archivos del usuario.

Si esta clave se establece en FALSE, o si la clave no existe, el adaptador no suprime el directorio inicial del usuario. El valor predeterminado es false.
ForceRASServerLookup Si esta clave se establece en TRUE, el RASServer se encuentra siempre desde la información de dominio.
Si esta clave se establece en FALSE, existe una de estas condiciones:
  • Si el servidor de destino se ha especificado en el punto base, el servidor de destino se utiliza como servidor RAS.
  • Si el servidor de destino no se ha especificado en el punto base, el servidor RAS se encuentra desde la información de dominio.
El valor predeterminado es false.
ForceTerminalServerLookup Si esta clave se establece en TRUE, el servidor de terminal se encuentra siempre desde la información de dominio.
Si esta clave se establece en FALSE, existe una de estas condiciones:
  • Si el servidor de destino se ha especificado en el punto base, el servidor de destino se utiliza como servidor de terminal.
  • Si el servidor de destino no se ha especificado en el punto base, el servidor de terminal se encuentra desde la información de dominio.
El valor predeterminado es false.
ManageHomeDirectories Si esta clave se establece en TRUE, el adaptador realiza operaciones de Agregar y Suprimir para directorios reales.

Si esta clave se establece en FALSE, el adaptador sólo utiliza la información de directorio inicial en Active Directory. El valor predeterminado es false.
NotifyIntervalSeconds Esta clave especifica el intervalo (en segundos) después de que se inicie el proceso de notificación de sucesos habilitado para el adaptador. Puede modificarse utilizando la herramienta agentCfg. El valor predeterminado es 300 segundos.
ReconHomeDirSecurity Si esta clave se establece en TRUE, el adaptador aporta la información de seguridad inicial (seguridad NTFS, nombre de compartición y seguridad de compartición) durante una conciliación. El valor predeterminado es false. La operación de conciliación es rápida cuando esta clave se establece en FALSE.
ReconPrimaryGroup La operación de reconocimiento no agrega el grupo primario a la lista de grupos. El atributo memberof de Active Directory almacena la pertenencia a grupos del usuario, salvo el grupo primario. El atributo primaryGroupID de Active Directory almacena el grupo primario del usuario. Como resultado, el grupo primario tiene que agregarse de forma explícita a la lista de grupos.

Si esta clave se establece en TRUE, el grupo primario se agrega a la lista de grupos.

Si esta clave se establece en FALSE, el grupo primario no se agrega a la lista de grupos. El valor predeterminado es false.
SearchPasswordSettings La mayoría de los atributos de contraseña se almacenan en Active Directory y se recuperan directamente. Pero algunos (por ejemplo, Require Unique Password and User Cannot Change Password) no se almacenan en Active Directory. Estos atributos tienen que recuperarse mediante API.

Si esta clave se establece en TRUE, los atributos de contraseña se recuperan utilizando la API respectiva.

Si esta clave se establece en FALSE, los atributos no se recuperan. El valor predeterminado es false. Cuando esta clave se establece en FALSE, los atributos de distintivo de contraseña no se recuperan y la operación de conciliación es rápida.
UnlockOnPasswordReset Si esta clave se establece en TRUE, el adaptador activa el usuario en una solicitud de cambio de contraseña. El valor predeterminado es false.
useDefaultDC Esta clave proporciona prestaciones de migración tras error para el adaptador cuando el host especificado en el punto base no está disponible. Si el adaptador no se puede conectar al host especificado en el punto base y la clave se establece en TRUE, el adaptador se conecta al punto base sin el nombre de host.

Si esta clave se establece en TRUE, la clave afecta al comportamiento de búsqueda de RASServer y de Terminal Server. El valor predeterminado es false.
useSSL Esta clave permite la comunicación SSL entre el adaptador y Active Directory.

Si esta clave se establece en TRUE, el adaptador utiliza SSL para comunicarse con Active Directory.

Si esta clave se establece en FALSE o no existe, el adaptador no utiliza SSL. El valor predeterminado es false.
WtsDisableSearch Esta clave sólo entra en vigor si WtsEnabled se ha establecido en TRUE.

Si se ha establecido en FALSE, esta clave permite la conciliación de los atributos de WTS.

Si se ha establecido en TRUE, la conciliación es más rápida. El valor predeterminado es false.
WtsEnabled Si esta clave se establece en TRUE, la clave permite el proceso de los atributos de Windows Terminal Server (WTS). El valor predeterminado es false.
UseGroup Puede establecer esta clave en una de las opciones siguientes:
  • CN :

    Cuando se establece esta clave en CN, el rendimiento del adaptador para agregar, modificar y conciliar es menor en comparación con la opción DN. Esta disminución del rendimiento se debe a que el adaptador debe efectuar enlaces adicionales con Active Directory.

  • DN :

    Cuando se establece esta clave en DN, el rendimiento del adaptador para agregar, modificar y conciliar es mayor comparado con las opciones CN y GUID.

  • GUID :

    Cuando se establece esta clave en GUID, el rendimiento del adaptador para agregar, modificar y conciliar es menor comparado con DN; no obstante, es mayor comparado con CN.

En función de la clave, el adaptador recupera el valor para el grupo durante la operación y procesos de conciliación durante la operación de agregar y modificar del adaptador. Cuando cambie el valor de esta clave, deberá modificar el perfil e importarlo de nuevo en IBM® VerifyIBM Security Identity Governance and IntelligenceIBM Security Privileged Identity Manager.

El valor predeterminado es DN.
ReconMailboxPermissions Cuando esta clave se establece en FALSE, el adaptador no recupera la información de permisos de buzón. La operación de conciliación es rápida cuando esta clave se establece en FALSE. El valor predeterminado es TRUE.
UPNSearchEnabled Cuando la clave de registro UPNSearchEnabled se establece en FALSE, el adaptador no realiza una búsqueda de exclusividad en User Principal Name . Crea la cuenta de usuario con el valor proporcionado o generado de User Principal Name.
Cuando la clave de registro UPNSearchEnabled se establece en TRUE, el adaptador realiza una búsqueda en el Nombre principal de usuario para garantizar la exclusividad. El valor predeterminado es TRUE.
Nota: Esta clave sólo se utiliza para la operación de adición de usuario.
UseITIMCNAttribute Cuando esta clave se establece en TRUE, el adaptador utiliza IBM VerifyIBM Security Identity Governance and IntelligenceIBM Security Privileged Identity Manager atributo cn del esquema común. El adaptador procesa el atributo cn para las operaciones de adición, modificación y conciliación. Cuando esta clave se establece en FALSE, el adaptador utiliza el atributo erADFullName para las operaciones de adición, modificación y conciliación. Cuando se establece esta clave de registro en FALSE, debe personalizar el formulario de cuenta.

El valor predeterminado es TRUE.

MailUserRenameDelay

 Cuando se renombra una cuenta de usuario con el estado de correo, Active Directory puede tardar algún tiempo en restablecer el estado de correo de la cuenta de usuario. Este comportamiento causa el fallo del adaptador en los atributos de Exchange de la solicitud de renombrado con el mensaje de error Error al establecer el nombre de atributo. El usuario no tiene un buzón. En este caso, renombrar significa modificar el atributo Eruid y el atributo User Principal Name .

Cuando utilice esta clave, el adaptador espera antes de modificar el atributo de Exchange cuando se renombra una cuenta de usuario. Por ejemplo, establezca esta clave en 10 segundos. Envíe una solicitud para renombrar una cuenta de usuario. El adaptador espera durante 10 segundos antes de modificar los atributos de Exchange que están en la solicitud.

El valor predeterminado de la clave de registro es de 0 segundos.

Nota: El adaptador utiliza esta clave sólo cuando se modifican el Eruid, el nombre de principal de usuario y los atributos de Exchange.
SearchTimeout En algunas configuraciones de Active Directory, es posible que el adaptador no complete la operación de conciliación. Este error se produce cuando la API de ADSI de Microsoft GetNextRow se detiene de manera indefinida.

El adaptador supervisa la operación de conciliación. Establezca esta clave de registro en un valor que no sea cero. El proceso de adaptador finaliza si no hay actividad del adaptador en la operación de conciliación durante el tiempo en segundos especificado en esta clave.

Cuando se establece el valor de esta clave de registro en 0 y si el adaptador se detiene durante la operación de reconciliación, la operación de reconciliación no se completa y la operación se temporiza en IBM VerifyIBM Security Identity Governance and IntelligenceIBM Security Privileged Identity Manager. En este caso, reinicie el servicio del adaptador.

El valor predeterminado de la clave de registro es de 0 segundos.
LyncDisableSearch Si esta clave se establece en TRUE, inhabilita los atributos de Lync. Excluye de los resultados de búsqueda los atributos de Lync, que no se almacenan como valores LDAP y se recuperan con una llamada de powershell. Los atributos de Lync pueden afectar al rendimiento de forma significativa durante una búsqueda. El valor predeterminado es false.
Nota: Las siguientes claves de registro ya no se utilizan:
  • AbortReconOnFailure
  • OverrideX500Addresses
Además de las claves de registro de adaptador listadas, puede añadir claves de registro con un nombre como el valor de Users BasePoint DN en el formulario de servicio. También puede proporcionar servidores de destino adicionales para ese servicio. Cada servidor de destino debe estar separado por un signo |.
Ejemplo 1
Cuando un Users BasePoint DN especificado en el formulario de servicio es OU=TestOU,DC=MyDomain,DC=com, puede especificar la lista de servidores de destino en el registro del adaptador utilizando agentCfg.exe como:
  • Cree el registro con el nombre OU=TestOU,DC=MyDomain,DC=com.
  • Especifique el valor de la clave como DC01|DC02|DC03.
Ejemplo 2
Cuando un DN de punto base de usuarios especificado en el formulario de servicio es DC01|DC02|DC03/DC=MyDomain,DC=com, puede especificar la lista de servidor(es) de destino adicionales en el registro del adaptador utilizando agentCfg.exe como:
  • Cree el registro con el nombre DC=MyDomain,DC=com.
  • Especifique el valor de la clave como DC04|DC05|DC06.
Nota: Cuando el punto base o el servidor de destino tiene caracteres Unicode, utilice regedit para crear claves de registro en HKEY_LOCAL_MACHINE\ SOFTWARE\Access360\ADAgent\Specific.
Se realizan las tareas siguientes cuando se activa el RUS:
  • Cuando se crea un ID de usuario de Exchange, la entrada se crea por primera vez en Active Directory. Inicialmente, el usuario está inactivo. El RUS activa el ID de usuario estableciendo el atributo msExchUserAccountControl en 0.
  • Cuando un usuario, grupo u objeto se agrega o se modifica en Active Directory, el RUS determina a cuál de las listas de direcciones disponibles pertenece. A continuación, el servicio agregará la lista de direcciones actualizada al atributo showInAddressBook para el usuario, grupo u objeto.

El adaptador considera los atributos msExchUserAccountControl y showInAddressBook y lleva a cabo las tareas anteriores cuando RUS se desactiva y el atributo IsRUSRunning se establece en FALSE. Cuando se instala el adaptador, el valor predeterminado del distintivo IsRUSRunning es TRUE.

En la tabla siguiente se lista el comportamiento del adaptador, en función del valor del atributo IsRUSRunning y el estado del RUS:
Tabla 3. Comportamiento esperado del adaptador
IsRUSRunning bandera RUS que se ejecuta en el recurso Comportamiento del adaptador
TRUE TRUE El adaptador no gestiona los atributos msExchUserAccountControl y showInAddressBook .
TRUE FALSE El adaptador crea una entrada en el archivo de registro y no gestiona los atributos msExchUserAccountControl y showInAddressBook.
FALSE TRUE El adaptador crea una entrada en el archivo de registro y no gestiona los atributos msExchUserAccountControl y showInAddressBook.
FALSE FALSE El adaptador gestiona los atributos msExchUserAccountControl y showInAddressBook.