Modification des paramètres de registre non chiffrés

Modifier en ligne

Pour modifier les paramètres de registre non chiffrés, procédez comme suit :

Procédure

  1. Dans le menu Registre des agents, tapez A pour afficher le menu Paramètres du registre non crypté.
    Eléments du registre d'agents
-----------------------------------
01. CreateUNCHomeDirectories  'FALSE'
02. DeleteUNCHomeDirectories  'FALSE'
03. delRoamingProfileOnDeprov'FALSE'
04. delUNCHomeDirOnDeprov'FALSE'
05. ForceRASServerLookup      'FALSE'
06. ForceTerminalServerLookup 'FALSE'
07. IsRUSRunning              'TRUE'
08. MailboxPermissionsEnabled	'FALSE'
09. ManageHomeDirectories     'FALSE'
10. NotifyIntervalSeconds     '300'
-----------------------------------
           Page 1 of 3

A. Ajouter un nouvel attribut
B. Modifier la valeur d'attribut
C. Retirer l'attribut

D. Next Page

X. Effectué

Select menu option:D
Eléments du registre d'agents
------------------------------------
11. SupportedProxyEmailTypes	'STMP:,X400:'
12. ReconHomeDirSecurity 'FALSE'
13. ReconPrimaryGroup         'TRUE'
14. SearchExchangeApiValues   'False'
15. SearchPasswordSettings    'FALSE'
16. UnlockOnPasswordReset     'FALSE'
17. useDefaultDC'FALSE'
18. useSSL'FALSE'
19. WtsDisableSearch          'TRUE'
20. WtsEnabled                'FALSE'
-------------------------------------
           Page 2 of 3

A.  Ajouter un nouvel attribut
B.  Modifier la valeur d'attribut
C.  Retirer l'attribut

E.  Prev Page

X.  Effectué

Sélectionnez une option de menu :
    Eléments du registre d'agents
-----------------------------------
01. CreateUNCHomeDirectories  'FALSE'
02. DeleteUNCHomeDirectories  'FALSE'
03. delRoamingProfileOnDeprov'FALSE'
04. delUNCHomeDirOnDeprov'FALSE'
05. ForceRASServerLookup      'FALSE'
06. ForceTerminalServerLookup 'FALSE'
07. ManageHomeDirectories     'FALSE'
08. NotifyIntervalSeconds     '300'
09. ReconHomeDirSecurity 'FALSE'
10. ReconPrimaryGroup         'TRUE'
-----------------------------------
           Page 1 of 3

A. Ajouter un nouvel attribut
B. Modifier la valeur d'attribut
C. Retirer l'attribut

D. Next Page

X. Effectué

Select menu option:D
Eléments du registre d'agents
------------------------------------
11. SearchPasswordSettings    'FALSE'
12. UnlockOnPasswordReset     'FALSE'
13. useDefaultDC'FALSE'
14. useSSL'FALSE'
15. WtsDisableSearch          'TRUE'
16. WtsEnabled                'FALSE'
-------------------------------------
           Page 2 of 3

A.  Ajouter un nouvel attribut
B.  Modifier la valeur d'attribut
C.  Retirer l'attribut

E.  Prev Page

X.  Effectué

Sélectionnez une option de menu :
  2. Entrez la lettre de l'option de menu correspondant à l'action que vous souhaitez effectuer sur un attribut.
    Tableau 1. Descriptions des options de configuration des attributs
    Option Tâche de configuration
    A Ajouter un nouvel attribut
    B Modifier la valeur d'attribut
    C Retirer l'attribut
  3. Indiquez le nom de l'élément du registre et appuyez sur Entrée.
  4. Si vous avez sélectionné l'option A ou B, indiquez la valeur de l'élément du registre et appuyez sur Entrée.

    Le menu contenant les paramètres de registre non chiffrés apparaît à l'écran et présente les nouveaux paramètres.

Résultats

Le tableau suivant décrit les clés de registre et les paramètres disponibles pour chacune d'entre elles :
Tableau 2. Descriptions des clés de registre
Clé Description
CreateUNCHomeDirectories Si cette clé est définie sur TRUE, elle permet la création du répertoire principal de convention de dénomination universelle. La valeur par défaut est false.
DeleteUNCHomeDirectories Si cette clé est définie sur TRUE, elle permet la suppression du répertoire principal de convention de dénomination universelle lorsque vous appuyez sur la touche Suppr. La valeur par défaut est false.
delRoamingProfileOnDeprovision Si cette clé est définie sur TRUE, elle permet la suppression du répertoire de profil utilisateur lorsque l'utilisateur est annulé. Une fois l'utilisateur supprimé d'Active Directory, l'adaptateur supprime le répertoire personnel de l'utilisateur, les sous-répertoires et les fichiers qu'il contient.

Si cette clé est définie sur FALSE ou si elle n'existe pas, l'adaptateur ne supprime pas le répertoire principal de l'utilisateur. La valeur par défaut est false.
delUNCHomeDirOnDeprovision Si cette clé est définie sur TRUE, elle permet la suppression du répertoire principal de convention de dénomination universelle lorsque l'utilisateur est annulé. Une fois l'utilisateur supprimé d'Active Directory, l'adaptateur supprime le répertoire personnel de l'utilisateur, les sous-répertoires et les fichiers qu'il contient.

Si cette clé est définie sur FALSE ou si elle n'existe pas, l'adaptateur ne supprime pas le répertoire principal de l'utilisateur. La valeur par défaut est false.
ForceRASServerLookup Si cette clé est définie sur TRUE, le serveur RASServer se trouvera toujours dans les informations relatives au domaine.
Si cette clé est définie sur FALSE, l'une de ces conditions existe :
  • Si le serveur cible est indiqué dans le point de base, le serveur cible sera utilisé en tant que serveur RAS.
  • Si le serveur cible n'est pas indiqué dans le point de base, le serveur RAS se trouvera dans les informations relatives au domaine.
La valeur par défaut est false.
ForceTerminalServerLookup Si cette clé est définie sur TRUE, le serveur terminal se trouvera toujours dans les informations relatives au domaine.
Si cette clé est définie sur FALSE, l'une de ces conditions existe :
  • Si le serveur cible est indiqué dans le point de base, le serveur cible sera utilisé en tant que serveur terminal.
  • Si le serveur cible n'est pas indiqué dans le point de base, le serveur terminal se trouvera dans les informations relatives au domaine.
La valeur par défaut est false.
ManageHomeDirectories Si cette clé est définie sur TRUE, l'adaptateur exécute les opérations d'ajout et de suppression pour les répertoires courants.

Si cette clé est définie sur FALSE, l'adaptateur procède uniquement à la mise à jour des informations du répertoire Home d'Active Directory. La valeur par défaut est false.
NotifyIntervalSeconds Cette clé indique l'intervalle (en secondes) au bout duquel le processus de notification d'événements activé par l'adaptateur démarre. Il est possible de la modifier à l'aide de l'outil agentCfg. La valeur par défaut est 300 secondes.
ReconHomeDirSecurity Si cette clé est définie sur TRUE, l'adaptateur livre les informations de sécurité principales (sécurité NTFS, nom partagé et sécurité partagée) lors d'une synchronisation. La valeur par défaut est false. L'opération de synchronisation est rapide lorsque cette clé est définie sur FALSE.
ReconPrimaryGroup L'opération de synchronisation n'ajoute pas le groupe principal à la liste de groupes. L'attribut memberof d'Active Directory indique l'appartenance aux groupes de l'utilisateur, sauf le groupe principal. L'attribut primaryGroupID d'Active Directory spécifie le groupe principal de l'utilisateur. Il est donc nécessaire d'ajouter le groupe principal à la liste de groupes de manière explicite.

Si cette clé est définie sur TRUE, le groupe principal est ajouté à la liste de groupes.

Il ne l'est pas si cette clé est définie sur FALSE. La valeur par défaut est false.
SearchPasswordSettings La plupart des attributs de mot de passe sont stockés dans Active Directory et sont directement extraits. Mais certains (par exemple, Require Unique Password and User Cannot Change Password) ne sont pas stockés dans Active Directory. Ces attributs doivent être extraits à l'aide des API.

Si cette clé est définie sur TRUE, les attributs de mot de passe sont extraits à l'aide de l'API correspondante.

Si cette clé est définie sur FALSE, ils ne sont pas extraits. La valeur par défaut est false. Lorsque cette clé est définie sur FALSE, les attributs de marqueur de mot de passe ne sont pas récupérés et l'opération de synchronisation est rapide.
UnlockOnPasswordReset Si cette clé est définie sur TRUE, l'adaptateur active l'utilisateur pour la demande de modification du mot de passe. La valeur par défaut est false.
useDefaultDC Cette clé fournit une fonction de reprise pour l'adaptateur lorsque l'hôte spécifié dans le point de base n'est pas disponible. Si l'adaptateur ne peut pas établir la connexion à l'hôte spécifié dans le point de base, et que la clé est définie sur TRUE, l'adaptateur se connecte au point de base sans le nom de l'hôte.

Si cette clé est définie sur TRUE, elle affecte le comportement de recherche du serveur RASS et terminal. La valeur par défaut est false.
useSSL Cette clé active la communication SSL entre l'adaptateur et Active Directory.

Si cette clé est définie sur TRUE , l'adaptateur utilise SSL pour communiquer avec Active Directory.

Si cette clé est définie sur FALSE ou si elle n'existe pas, l'adaptateur n'utilise pas SSL. La valeur par défaut est false.
WtsDisableSearch Cette clé ne prend effet que si WtsEnabled est défini sur TRUE.

Si elle est définie sur FALSE, cette clé active la synchronisation des attributs WTS.

Si elle est définie sur TRUE, la synchronisation aura lieu plus rapidement. La valeur par défaut est false.
WtsEnabled Si cette clé est définie sur TRUE, elle active le traitement des attributs WTS (Windows Terminal Server). La valeur par défaut est false.
UseGroup Vous pouvez définir cette clé sur l'une des options suivantes :
  • CN :

    Lorsque vous définissez cette clé sur CN, les performances de l'adaptateur concernant l'ajout, la modification et la synchronisation sont moins bonnes qu'avec l'option DN. Effectivement, l'adaptateur doit établir des liaisons supplémentaires avec Active Directory.

  • Nom distinctif:

    Lorsque vous définissez cette clé sur DN, les performances de l'adaptateur concernant l'ajout, la modification et la synchronisation sont meilleures qu'avec les options CN et GUID.

  • Identificateur global unique:

    Lorsque vous définissez cette clé sur GUID, les performances de l'adaptateur concernant l'ajout, la modification et la synchronisation sont moins bonnes qu'avec l'option DN mais meilleures qu'avec l'option CN.

Selon la clé, l'adaptateur extrait la valeur pour le groupe lors de l'opération de synchronisation et la traite lors de l'opération d'ajout et de modification de l'adaptateur. Lorsque vous changez la valeur de cette clé, vous devez modifier le profil et l'importer à nouveau le IBM® VerifyIBM Security Identity Governance and IntelligenceIBM Security Privileged Identity Manager.

La valeur par défaut est DN.
ReconMailboxPermissions Si cette clé est définie sur FALSE, l'adaptateur n'extrait pas les informations sur les droits relatifs aux boîtes aux lettres. L'opération de synchronisation est rapide lorsque cette clé est définie sur FALSE. La valeur par défaut est true.
UPNSearchEnabled Lorsque la clé de registre UPNSearchEnabled est définie sur FALSE, l'adaptateur n'effectue pas de recherche d'unicité sur le User Principal Name . Il crée le compte utilisateur avec la valeur fournie ou générée de User Principal Name.
Si la clé de registre UPNSearchEnabled est définie sur TRUE, l'adaptateur vérifie si le nom principal de l'utilisateur est unique. La valeur par défaut est true.
Remarque: cette clé est utilisée uniquement pour l'opération d'ajout d'utilisateur.
UseITIMCNAttribute Lorsque cette clé est définie sur TRUE, l'adaptateur utilise l'attribut de schéma commun cn IBM VerifyIBM Security Identity Governance and IntelligenceIBM Security Privileged Identity Manager l'attribut cn du schéma commun. L'adaptateur traite l'attribut cn (nom usuel) pour les opérations d'ajout, de modification et de synchronisation des utilisateurs. Lorsque cette clé est définie sur FALSE, l'adaptateur utilise l'attribut erADFullName pour les opérations d'ajout, de modification et de synchronisation. Lorsque vous définissez cette clé de registre sur FALSE, vous devez personnaliser le formulaire de compte.

La valeur par défaut est TRUE.

MailUserRenameDelay

 Lorsque vous renommez un compte utilisateur avec un statut de messagerie, Active Directory risque de prendre du temps pour rétablir le statut de la messagerie du compte utilisateur. Ce comportement fait échouer les attributs d'échange de l'adaptateur dans la demande de renommage avec le message d'erreur Error setting attribute name. L'utilisateur n'a pas de boîte aux lettres. Dans ce cas, renommer signifie modifier les attributs Eruid et User Principal Name .

Si vous utilisez cette clé, l'adaptateur attend avant de modifier l'attribut d'échange lorsqu'un compte utilisateur est renommé. Par exemple, définissez cette clé sur 10 secondes. Soumettez une demande de changement de nom d'un compte utilisateur. L'adaptateur attend 10 secondes avant de modifier les attributs d'échange de la demande.

La valeur par défaut de la clé de registre est 0 secondes.

Remarque: L'adaptateur utilise cette clé uniquement lorsque les attributs Eruid, User Principal Name et Exchange sont modifiés.
SearchTimeout Dans certaines configurations Active Directory, l'adaptateur risque de ne pas achever l'opération de synchronisation. Cet incident se produit lorsque l'API GetNextRow de Microsoft ADSI s'arrête pour une durée indéterminée.

L'adaptateur surveille l'opération de synchronisation. Définissez cette clé de registre sur une valeur différente de zéro. Le processus de l'adaptateur s'arrête si, lors de l'opération de synchronisation, l'adaptateur reste inactif pendant la durée en secondes indiquée par cette clé.

Lorsque vous définissez la valeur de cette clé de registre à 0 et si l'adaptateur s'arrête pendant l'opération de rapprochement, l'opération de rapprochement ne se termine pas et l'opération est interrompue à la date suivante IBM VerifyIBM Security Identity Governance and IntelligenceIBM Security Privileged Identity Manager. Dans ce cas, redémarrez le service de l'adaptateur.

La valeur par défaut de la clé de registre est 0 secondes.
LyncDisableSearch Si cette clé est définie sur TRUE, elle désactive les attributs Lync. Cela exclut les attributs Lync, qui ne sont pas stockés comme valeurs LDAP et qui sont extraits grâce à un appel Powershell à partir des résultats de la recherche. Les attributs Lync peuvent affecter les performances de manière significative lors d'une recherche. La valeur par défaut est false.
Remarque: Les clés de registre suivantes ne sont plus utilisées:
  • AbortReconOnFailure
  • OverrideX500Addresses
En plus des clés de registre d'adaptateur répertoriées, vous pouvez ajouter des clés de registre avec un nom comme valeur de Users BasePoint DN sur le formulaire de service. Vous pouvez également fournir des serveurs cible supplémentaires pour ce service. Chaque serveur cible doit être séparé par une barre verticale (|).
Exemple 1
Lorsqu'un Users BasePoint DN spécifié sur le formulaire de service est OU=TestOU,DC=MyDomain,DC=com, vous pouvez spécifier la liste des serveurs cible dans le registre de l'adaptateur en utilisant agentCfg.exe comme suit:
  • Créez le registre avec le nom OU=TestOU,DC=MyDomain,DC=com.
  • Indiquez la valeur DC01|DC02|DC03 pour la clé.
Exemple 2
Si le nom distinctif du point de base des utilisateurs sur le formulaire de service est DC01|DC02|DC03/DC=MyDomain,DC=com, vous pouvez indiquer la liste des serveurs cible supplémentaires dans le registre de l'adaptateur à l'aide d'agentCfg.exe comme suit :
  • Créez le registre avec le nom DC=MyDomain,DC=com.
  • Indiquez la valeur DC04|DC05|DC06 pour la clé.
Remarque: Lorsque le point de base ou le serveur cible comporte des caractères Unicode, utilisez la commande regedit pour créer des clés de registre sous HKEY_LOCAL_MACHINE\ SOFTWARE\Access360\ADAgent\Specific.
Les tâches suivantes sont effectuées lorsque le RUS est activé :
  • A la création d'un ID utilisateur Exchange, l'entrée est tout d'abord créée dans Active Directory. Au départ, l'utilisateur est inactif. Le RUS crée l'ID utilisateur en paramétrant l'attribut msExchUserAccountControl sur 0.
  • Lorsqu'un utilisateur, un groupe ou un objet est ajouté ou modifié dans Active Directory, le RUS détermine les listes d'adresses disponibles auxquelles il appartient. Le service ajoute alors la liste des adresses mise à jour dans l'attribut showInAddressBook de l'utilisateur, du groupe ou de l'objet.

L'adaptateur prend en compte les attributs msExchUserAccountControl et showInAddressBook et effectue les tâches précédentes si RUS est désactivé et si l'attribut IsRUSRunning est défini sur FALSE. Lorsque vous installez l'adaptateur, la valeur par défaut de l'indicateur IsRUSRunning est TRUE.

Le tableau suivant répertorie le comportement de l'adaptateur, en fonction de la valeur de l'attribut IsRUSRunning et de l'état du RUS :
Tableau 3. Comportement attendu de l'adaptateur
Indicateur IsRUSRunning RUS exécuté sur la ressource Comportement de l'adaptateur
exit utilisateur associé à une tâche exit utilisateur associé à une tâche L'adaptateur ne gère pas les attributs msExchUserAccountControl et showInAddressBook .
exit utilisateur associé à une tâche FALSE L'adaptateur crée une entrée dans le fichier journal et ne gère pas les attributs msExchUserAccountControl et showInAddressBook.
FALSE exit utilisateur associé à une tâche L'adaptateur crée une entrée dans le fichier journal et ne gère pas les attributs msExchUserAccountControl et showInAddressBook.
FALSE FALSE L'adaptateur gère les attributs msExchUserAccountControl et showInAddressBook.