С помощью утилиты управления пользователями можно определить учетные данные для групп Active Directory, которые получат доступ к консоли. Эти учетные данные позволят Management Suite создать перечисление в каталоге. Необходимо предоставить учетные данные для каждой группы Active Directory, содержащей пользователей, которым вы хотите предоставить доступ к консоли. От предоставляемой информации об аутентификации зависит, какие группы пользователей вы можете выбрать для назначения разрешений группе консоли.
Аутентификация на консоли осуществляется на основе участия в локальной группе Windows или группе Active Directory. Когда администратор LANDesk назначает групповые разрешения локальной группе или группе Active Directory, участвующие в этой группе пользователи могут входить на консоль Windows или web-консоль и совместно используют разрешения, назначенные этой группе.
При управлении службами Active Directory для работы с Management Suite вы можете столкнуться со следующими проблемами:
Требуется полная интеграция Active Directory с DNS и TCP/IP (DNS). Для обеспечения полного набора функциональных возможностей DNS-сервер должен поддерживать SRV-записи ресурсов или записи служб.
Если с помощью Active Directory добавить пользователя в группу, используемую на консоли, пользователь при этом не сможет входить на консоль, даже если ему назначены разрешения Management Suite. Входить на консоль может только пользователь, являющийся участником локальных групп LANDesk главного сервера. Для получения дополнительной информации см. раздел Добавление пользователей консоли Management Suite.
Чтобы службы Active Directory надлежащим образом работали с ролевым администрированием, необходимо сконфигурировать учетные данные сервера COM+ на главном сервере. Это позволит главному серверу использовать учетную запись в одной из локальных групп LANDesk главного сервера, обладающую необходимыми разрешениями, для перечисления членов домена Windows (например, учетную запись администратора). Для получения инструкций по выполнению конфигурации см. раздел Поддержка нескольких главных серверов.
При изменении пароля учетной записи для аутентификации необходимо войти на консоль и в диалоговом окне аутентификации сменить пароль на новый. Для этого вы можете войти в качестве локальной группы. Пользователи аутентифицируются при входе, поэтому существующий сеанс продолжает работать. Пользователи домена с измененным паролем не смогут войти на консоль, пока пароль не будет изменен в утилите управления пользователями.
К использованию Active Directory с ролевым администрированием применяются следующие правила:
В Management Suite используется утилита resolveusergroups.exe для отправки запросов локальным и активным каталогам, позволяющих анализировать разрешения пользователей. По умолчанию resolveusergroups.exe запускается каждые 20 минут. После запуска утилиты время ожидания выполняемых ею запросов по умолчанию истекает через 10 секунд.
Если каталогу организации требуется больше 10 секунд для ответа или если resolveusergropus.exe не может выполнить необходимые запросы за 20 минут, получается, что resolveusergroups.exe выполняется практически непрерывно, поскольку время ожидания запросов истекает.
Такое случается не часто, но если вам необходимо настроить время ожидания или интервал запуска, то для изменения этих настроек можно выполнить следующие команды SQL в базе данных управления.
update keyvalue
set intvalue = 600
where keyname = 'GroupResolutionTTL'
update keyvalue
set intvalue = 60
where keyname = 'LocalLDGroupResolutionTTL'
update SchedulerDirQueue
set ProcessingDelay = 2400
where Name = 'ResolveUserGroups'
В качестве единиц измерения для значений intvalue и ProcessingDelay используются секунды.