Häufig gestellte Fragen zur Active Directory-Synchronisierung

Antworten auf häufig gestellte Fragen zur Active Directory-Synchronisierung finden Sie unter Sophos Central Admin.

Die Active Directory-Synchronisierung ermöglicht es Administratoren, einen Dienst zu implementieren, der die Benutzer und Gruppen von Active Directory auf Sophos Central Admin abbildet und synchronisiert. Sie können dies mit „Active Directory Synchronization Setup“ einrichten.

Die häufig gestellten Fragen zu Active Directory sind in zwei Teile unterteilt.

  • Diese Seite enthält allgemeine Informationen zur Active Directory-Synchronisierung in Sophos Central Admin.
  • Allgemeine Informationen über die Active Directory-Synchronisierungseinrichtung, Installation, unterstützte Plattformen, Synchronisierungsfehler, das Ändern von Verzeichnisdiensten und Entfernen der Active Directory-Synchronisierung finden Sie unter Häufig gestellte Fragen zur Installation der Active Directory-Synchronisierung.

Wo kann ich einen Proxy konfigurieren?

Active Directory Synchronization Setup (Version 4.0) ermöglicht die Konfiguration eines Proxys. Dies können Sie unter Sophos-Zugangsdaten tun. Sehen Sie hierzu auch Einrichtung der Synchronisierung mit Active Directory.

Proxyeinstellungen in Active Directory Synchronization Setup

Wenn Sie über ein Testkonto verfügen, verwenden Sie das Sophos Central AD Sync Utility Setup (Version 3.5.4). In dieser Version können keine Proxy-Details konfiguriert werden.

Im Sophos Central AD Sync Utility wird der Dienst mit einem lokalen Dienstkonto ausgeführt, das standardmäßig keinen Zugriff auf die Authentifizierung über Proxys hat. Bei einem Problem mit der Proxy-Verbindung wird die folgende Fehlermeldung angezeigt:

Fehlgeschlagene Active-Directory-Synchronisation. Grund: System.Net.Http.HttpRequestException 
---> CommandLib.HttpRequestCommand+HttpStatusException: Ausnahme vom Typ 'CommandLib.HttpRequestCommand+HttpStatusException' wurde ausgelöst.

Wenn Sie ein Konto erstellen müssen, das Zugriff hat, muss dieses Konto auf folgende Weise angemeldet werden können:

  • Als Service.
  • Interaktiv.
  • Als Batch.

Das Konto muss außerdem über die Rechte zum Lesen von Organisationseinheiten (OU) auf dem Domänencontroller verfügen, den Sie synchronisieren möchten.

Das Konto muss auch über NTFS-Vollberechtigungen für C:\ProgramData\Sophos\Sophos Cloud AD Sync verfügen.

Anmerkung Jedes Mal, wenn Sie das Dienstkonto ändern, das für die Synchronisierung mit Active Directory verwendet wird, müssen Sie das Sophos Central AD Sync Utility neu konfigurieren.

Außerdem gibt es eine Interimslösung für Active Directory-Synchronisierungs-Proxys. Siehe So konfigurieren Sie das AD Sync Utility für die Verwendung eines Proxyservers.

Was sind die LDAP-Filter?

Benutzer werden mit der LDAP-Abfrage (&(objectCategory=person)(objectClass=user)(!sAMAccountType=805306370)(!userAccountControl:1.2.840.113556.1.4.803:=2)) gefiltert.

Der Gruppen-LDAP-Filter für Gruppen lautet (&(objectCategory=group)(objectClass=group)).

Sie können diese Filter pro Domäne erweitern. Weitere Informationen zu Filtern und LDAP-Abfragen finden Sie unter Filter des Central Admin AD Sync Utility.

Wir empfehlen, inaktive Benutzer und Geräte zu entfernen, anstatt sich auf Filter zu verlassen. Siehe Inaktive AD-Benutzer filtern.

Wie importiert die Synchronisierung Benutzernamen?

Beim Importieren von Benutzern aus Active Directory verwenden wir den Anzeigenamen.

Beispiel für einen Anzeigenamen

Wie importiert die Synchronisierung eine E-Mail-Aliasadresse?

Wir verwenden proxyAddresses für den Alias.

Proxy-Adressen

Wo finde ich die Protokolldateien?

Siehe Protokollierungsverzeichnisse des Active Directory Sync Utility.

Anmerkung Wenn Sie einen Support-Fall eröffnen müssen, müssen Sie dem Sophos Support so viele Informationen wie möglich aus den Protokolldateien geben.

Wie gleicht die Synchronisierung Active Directory-Benutzer mit vorhandenen Benutzern ab?

Wir gleichen Active Directory-Benutzer anhand der Domänen-Anmeldung (Domäne/Benutzer) oder anhand der E-Mail-Adresse (via Mail) ab.

Beispiel für eine Domänen-Anmeldung , Beispiel für eine E-Mail-Adresse

Wenn eine Übereinstimmung vorliegt, wird der zugeordnete Sophos Central Admin-Benutzer mit den Daten in Active Directory aktualisiert oder ersetzt. Das Benutzersymbol ändert sich vom Sophos Central Admin-Benutzersymbol Sophos Central-Benutzersymbol in das Active Directory-Benutzersymbol Active Directory-Benutzersymbol.

Wir erstellen einen neuen Benutzer, wenn die E-Mail-Adresse oder der Sophos Central Admin-Benutzer unterschiedlich ist.

Bei Bedarf können Sie die Benutzeranmeldungen in Sophos Central Admin aktualisieren. Beispielsweise können Sie die Anmeldedaten eines Benutzers bearbeiten, der einem Gerät zugeordnet ist. Siehe Zuweisen oder Entfernen einer vorhandenen Anmeldung für einen Benutzer.

Sie können die übereinstimmenden Konten vor der Synchronisierung anzeigen. Klicken Sie hierzu auf Preview and Sync....

Option „Preview and Sync...“

Wenn eine Übereinstimmung vorliegt, wird dies auf der Registerkarte Users to Modify angezeigt.

Wenn keine Übereinstimmung vorliegt, wird der Benutzer auf der Registerkarte Users to Add angezeigt. Sie können Änderungen ablehnen.

Informationen zum Beheben von Problemen mit der Verknüpfung zwischen Sophos Central Admin-Benutzern und Azure AD finden Sie unter Azure AD.

Was passiert, wenn ich Benutzer in Active Directory lösche?

Wenn der Benutzer über eine Geräteanmeldung, ein Postfach oder eine Administratorrolle in Sophos Central Admin verfügt, behalten wir den Benutzer in Sophos Central Admin.

Das Benutzersymbol ändert sich vom Active-Directory-Benutzersymbol Active-Directory-Benutzersymbol in das Sophos Central Admin-Benutzersymbol Sophos-Central-Benutzersymbol.

Wenn der Benutzer keine Geräteanmeldung, kein Postfach oder keine Sophos Central Admin-Administratorrolle hat, löschen wir den Benutzer.

Warum werden Änderungen in Active Directory nicht in Sophos Central Adminberücksichtigt?

Benutzer, die eine Administratorrolle in Sophos Central Admin besitzen und Active Directory-Benutzer sind, werden nicht automatisch entfernt. Dies gilt auch für Änderungen der primären E-Mail-Adresse für Benutzer, die eine Sophos Central Admin-Rolle besitzen.

Um einen Benutzer mit einer Administratorrolle zu entfernen (nachdem er in Active Directory entfernt wurde) oder die zugehörige E-Mail-Adresse zu ändern, müssen Sie diesen Benutzer (in Sophos Central Admin) herunterstufen und seine Administratorrolle entfernen. Wenn Sie das nächste Mal mit Active Directory synchronisieren, entfernen wir ihr Konto oder aktualisieren ihre E-Mails entsprechend. Wenn Sie ihre E-Mail-Adressen aktualisiert haben, können Sie ihnen dann eine Administratorrolle zuweisen.

Warum hat sich der Name eines Benutzers nach der Synchronisierung geändert?

Dies kann passieren, wenn einem Benutzer die Geräteanmeldung eines anderen Benutzers erteilt wurde. Das bedeutet, dass ein Benutzerdatensatz in Active Directory die Geräteanmeldungen für zwei verschiedene Personen enthält.

Ein Beispiel: Benutzer A verfügt über Geräteanmeldungen für Benutzer A/Domäne und Benutzer B/Domäne. Benutzer B verfügt über eine Geräteanmeldung für Benutzer B/Domäne.

Wir synchronisieren zuerst Benutzer A und verknüpfen beide Geräteanmeldungen mit Benutzer A. Wenn der Synchronisierungsprozess Benutzer B erreicht und versucht, den Benutzer zu erstellen, findet er die Geräteanmeldung von Benutzer B unter Benutzer A. Dies entspricht Benutzer B und Benutzer A. Wir ändern dann den Namen von Benutzer A in Benutzer B.

Verfahren Sie wie folgt, um dies zu beheben:

  1. Suchen Sie den Benutzer in Sophos Central Admin.
  2. Überprüfen Sie die Anmeldungen des Benutzers und entfernen Sie alle, die nicht zu diesem gehören.
  3. Synchronisieren.

Warum kann ich einem Active Directory-verwalteten Benutzer keine Rolle zuweisen?

Dies ist in der Regel bei doppelten Benutzern der Fall. So beheben Sie das Problem:

  1. Gehen Sie zu Übersicht > Personen in Sophos Central Admin.
  2. Suchen Sie nach der E-Mail-Adresse des Benutzers.
    • Wenn für den Benutzer mehr als ein Ergebnis zurückgegeben wird, fahren Sie mit Schritt 3 fort.
    • Wenn Sie nur einen Benutzer haben, fahren Sie mit Schritt 7 fort.
  3. Legen Sie fest, welchem der doppelten Benutzerkonten Sie eine Rolle zuweisen möchten.
  4. Klicken Sie auf die doppelten Benutzer, denen Sie keine Rolle zuweisen möchten, und gehen Sie wie folgt vor:
    1. Klicken Sie auf Anmeldungen bearbeiten.
    2. Notieren Sie sich die Anmeldeinformationen für den Benutzer.
    3. Entfernen Sie alle zugehörigen Anmeldeinformationen des Benutzers.
    4. Klicken Sie auf Speichern.
  5. Klicken Sie auf den Benutzer, dem Sie eine Rolle zuweisen möchten, und gehen Sie wie folgt vor:
    1. Klicken Sie auf Anmeldungen bearbeiten.
    2. Fügen Sie alle Anmeldeinformationen hinzu, die Sie von den doppelten Benutzern entfernt haben.
    3. Klicken Sie auf Speichern.
  6. Weisen Sie die Rolle dem Benutzer zu. Überprüfen Sie, ob Sie dies speichern können und ob der Benutzer die Setup-E-Mail erhält.
  7. Wenn Sie immer noch eine Fehlermeldung erhalten, dass der Benutzer nicht bearbeitet oder gespeichert werden kann, bedeutet dies in der Regel, dass die E-Mail-Adresse bereits in Sophos Central Admin verwendet wird. Um die E-Mail-Adresse freizugeben, damit Sie sie erneut verwenden können, befolgen Sie die Schritte unter Rolle eines Benutzers kann nicht geändert werden.

Warum sind Benutzer mit Gruppen verknüpft, denen sie nicht angehören?

Verschachtelte Active Directory-Gruppen werden im Bereich Gruppen der Benutzerseite in Sophos Central Admin als verknüpfte Gruppen angezeigt.

Im folgenden Screenshot werden für den Benutzer in Sophos Central Admin vier Gruppen angezeigt.

Beispiel für verschachtelte Gruppen in Sophos Central Admin

Der Benutzer ist nur ein direktes Mitglied einer Gruppe. Die anderen drei Gruppen sind verschachtelte Gruppen, die mit diesem Benutzer verknüpft sind. Der Benutzer ist kein Mitglied dieser verknüpften Gruppen.

Verschachtelte Active Directory-Gruppen, die mit einem Benutzer verknüpft sind

Warum stimmt die Anzahl der Mitglieder der Gruppe „Domänenbenutzer“ nicht mit Active Directory überein?

Siehe Fehler beim Erstellen einer Gruppe oder der Anzeige der korrekten Benutzeranzahl.

Warum ist kein Mac mit einem synchronisierten Benutzer verknüpft?

Active Directory Synchronization Setup importiert Anmeldenamen als [NetBIOSDomainName]\[Benutzer]. Ein Mac meldet den Benutzernamen als [MacComputerName]\Benutzer]. Daher wird ein Mac nicht mit dem synchronisierten Benutzer verknüpft, und ein neuer Benutzer wird basierend auf dem [MacComputerName]\[Benutzer]-Anmeldenamen erstellt.

Um den Mac dem Sophos Central Admin Benutzer zuzuordnen, können Sie den automatisch generierten Benutzer ([MacComputername]\[Benutzer]) löschen und dann die Anmeldeinformationen, zum Beispiel [MacComputername]\[Benutzer], dem von AD Sync erstellten Benutzer zuordnen.

Sie können diese Informationen lokal überschreiben. Siehe Aktivieren von Domänenüberschreibungen für gemeldete Benutzer.