2.1 Web 控制台

Web 控制台是一个基于 Web 的用户界面,可通过此界面快速轻松访问许多用户帐户、组、计算机、资源和 Microsoft Exchange 邮箱任务。您可以自定义对象属性以提高例程任务的效率。您还可以管理自己的用户帐户的常规属性,例如街道地址或手机号码。

仅当您有权执行某项任务时,Web 控制台才会显示该任务。

2.1.1 启动 Web 控制台

您可以从运行 Internet Explorer 的任何计算机启动 Web 控制台。要启动 Web 控制台,请在 Web 浏览器地址字段中指定相应的 URL。例如,如果在 HOUserver 计算机上安装了 Web 组件,请在 Web 浏览器的地址字段中键入 https://HOUserver.entDomain.com/draclient

注:要在 Web 控制台中显示最新帐户和 Microsoft Exchange 信息,请将 Web 浏览器设置为每次访问时检查超速缓存页面的较新版本。

2.1.2 配置 Web 控制台

借助相应的权限,您可以在 Web 控制台中配置所有必需的服务器连接和集成、自动注销行为和 Advanced Authentication。

自动注销

您可以定义 Web 控制台在不活动后自动注销的时间增量,或将其设置为永远不会自动注销。

要在 Web 控制台中配置自动注销,请导航到管理 > 配置 > 自动注销

DRA 服务器连接

您可以在 Web 控制台中配置三个选项之一,定义登录时的 DRA 服务器连接选项。

  • 始终使用默认 DRA 服务器位置(始终

  • 从不使用默认 DRA 服务器位置(从不

  • 仅限于选中时使用默认 DRA 服务器位置(仅限于选中

登录时每个选项的行为如下所述:

连接配置

登录屏幕 - 选项

连接选项说明

始终

禁用选项配置

从不

使用自动发现

自动查找 DRA 服务器;没有可用的配置选项

 

连接到特定 DRA 服务器

用户可配置服务器和端口

 

连接到管理特定域的服务器

用户提供受管域并选择连接选项:

  • 使用自动发现(在提供的域中)

  • 此域的主服务器

  • 搜索 DRA 服务器(在提供的域中)

仅限于选中

使用自动发现

自动查找 DRA 服务器;没有可用的配置选项

 

连接到默认 DRA 服务器

选择默认服务器并禁用 DRA 服务器配置

 

连接到特定 DRA 服务器

用户可配置服务器和端口

 

连接到管理特定域的服务器

用户提供受管域并选择连接选项:

  • 使用自动发现(在提供的域中)

  • 此域的主服务器

  • 搜索 DRA 服务器(在提供的域中)

要在 Web 控制台中配置 DRA 服务器连接,请导航到管理 > 配置 > DRA 服务器连接

REST 服务器连接

REST 服务连接的配置包括设置默认服务器位置和连接超时(以秒为单位)。您可以在 Web 控制台中配置三个选项之一,以定义登录时的 REST 服务连接选项。

  • 始终使用默认 REST 服务位置(始终

  • 从不使用默认 REST 服务位置(从不

  • 仅限于选中时使用默认 REST 服务位置(仅限于选中

登录时每个选项的行为如下所述:

连接配置

登录屏幕 - 选项

连接选项说明

始终

禁用选项配置

从不

使用自动发现

自动查找 REST 服务器;没有可用的配置选项

 

连接到特定 REST 服务器

用户可配置服务器和端口

 

连接到特定域中的 REST 服务器

用户提供受管域并选择连接选项:

  • 使用自动发现(在提供的域中)

  • 搜索 REST 服务器(在提供的域中)

仅限于选中

使用自动发现

自动查找 REST 服务器;没有可用的配置选项

 

连接到默认 REST 服务器

选择默认 REST 服务器并禁用 REST 服务器配置

 

连接到特定 REST 服务器

用户可配置服务器和端口

 

连接到特定域中的 REST 服务器

用户提供受管域并选择连接选项:

  • 使用自动发现(在提供的域中)

  • 搜索 REST 服务器(在提供的域中)

要在 Web 控制台中配置 REST 服务连接,请导航到管理 > 配置 > REST 服务连接

Advanced Authentication

Advanced Authentication 可让您超越简单的用户名和口令,使用多因子鉴定以更安全的方式保护敏感信息。多因子鉴定是一种计算机访问控制方法,需要从不同类别的身份凭证中使用多种鉴定方法来校验用户的身份。

DRA 管理员配置链和事件后,如果您具有所需的权限,则可以登录到 Web 控制台并启用 Advanced Authentication。启用鉴定后,每个用户都需要通过 Advanced Authentication 进行鉴定,然后才能访问 Web 控制台。

要启用 Advanced Authentication,请登录到 Web 控制台并导航到管理 > 配置 > Advanced Authentication。选中已启用复选框,并根据为每个字段提供的说明配置表单。

有关 Advanced Authentication 的更多信息,请参见《Directory and Resource Administrator 管理员指南》中的鉴定

集成服务器

DRA 与工作流程自动化服务器和 Change Guardian 服务器集成,可分别提供对自动化工作流程表单和统一的更改历史记录 (UCH) 报告的访问权限。如果您具有所需的权限,则可以配置与工作流程自动化服务器和一个或多个 Change Guardian 服务器的连接。

配置工作流程自动化服务器

要在 DRA 中使用工作流程自动化,必须在创建自动化工作流程的 Windows Server 上安装工作流程引擎。在 Web 控制台中配置 DRA 与工作流程自动化服务器的集成。

要配置工作流程自动化服务器,请登录到 Web 控制台并导航到管理 > 集成 > 工作流程自动化

配置统一的更改历史记录服务器

要配置 UCH 服务器:

  1. 起动 Web 控制台并使用助理 Admin 身份凭证登录。

  2. 转到管理 > 集成 > 统一的更改历史记录,然后单击添加图标。

  3. 在“统一的更改历史记录”配置中指定 UCH 服务器名称或 IP 地址、端口号、服务器类型和访问帐户细节。

  4. 测试服务器连接,然后单击确定以保存配置。

  5. 根据需要添加其他服务器。

2.1.3 自定义 Web 控制台

在 Web 控制台中,您可以自定义对象属性和用户界面品牌化。正确实现后,属性自定义将有助于通过对象管理自动执行任务。

自定义属性页

您可以按对象类型自定义在 Active Directory 管理角色中使用的对象属性表单,包括创建和自定义基于 DRA 中内置的对象类型的新对象页面。您还可以修改内置对象类型的属性。

属性对象在 Web 控制台的“属性页面”列表中明确定义,以便可以轻松识别内置的对象页面、自定义的内置页面以及不是内置并由管理员创建的页面。

自定义对象属性页

通过添加或去除页面、修改现有页面和字段以及为属性特性创建自定义处理程序,即可自定义对象属性表单。创建自定义处理程序后,它们便会在属性字段更改时或管理员响应运行查询的提示时自动执行,具体取决于自定义处理程序的配置方式。

“属性页面”中的对象列表可为每种对象类型提供两种操作类型:创建对象和编辑属性。这些操作是您在 Web 客户端中执行的主要操作,您的自定义可以改善在 DRA 中管理 Active Directory 对象时的效率和体验。

要在 Web 控制台中自定义对象属性页:

  1. 导航到自定义 > 属性页面

  2. 在“属性页面”列表中选择一个对象和操作类型(创建或编辑)。

  3. 单击编辑按钮

  4. 通过执行以下一项或多项操作然后应用更改来自定义对象属性表单:

    • 添加新的属性页:添加页面

    • 选择一个属性页面并自定义该页面:

      • 对页面中的配置字段进行重新排序:

      • 编辑字段或子字段:

      • 添加一个或多个字段:添加字段

      • 去除一个或多个字段:

    • 使用脚本、讯息框或查询(LDAP、DRA 或 REST)为属性创建自定义处理程序

      有关使用自定义处理程序的更多信息,请参见添加自定义处理程序

添加自定义处理程序

自定义处理程序在 DRA 中用于属性特性相互交互以完成工作流程任务。属性自定义处理程序的一些示例包括查询其他字段的值、更新值、切换字段的只读状态,以及根据配置的变量显示或隐藏字段

DRA 还通过几个可选的 JavaScript (JS) 宏简化了创建自定义处理程序,您可以在自定义处理程序创建和验证过程中选择这些宏。

创建自定义处理程序的基本步骤:

以下步骤从预先选择的自定义处理程序页面开始。为此,您可以通过属性字段上的编辑按钮 访问对象属性自定义处理程序。

  1. 单击“自定义处理程序”选项卡并启用页面

  2. 从下拉菜单中选择自定义处理程序,然后选择执行时间。一般情况下,您会使用“执行时间”的第二个或第三个选项。

    注:通常,您可能只需要一个自定义处理程序,但可以使用多个处理程序,方法是在脚本中配置流程控制以将处理程序链接在一起。

  3. 您需要配置 添加到页面的每个自定义处理程序。配置选项因处理程序类型而异,但所有处理程序均从 JavaScript 执行。

    您可以创建自己的 Vanilla JavaScript 条目或使用内置宏。

    • LDAP 或 REST 查询处理程序:

      1. 如果希望查询基于静态值,请定义连接信息查询参数

        如果希望查询是动态的,请在必填字段中输入占位符文本。这是脚本执行所必需的。脚本将覆盖伪值。

        注:您还可以为 REST 查询配置标题和 Cookie。

      2. 在“查询前操作”中,选择宏类型:全局查询表单字段

      3. 从下拉列表中选择一个宏,然后插入宏(</> 插入宏)。

      4. 根据需要插入其他宏,然后提供所需的值以完成脚本。

        例如,在“查询前操作”中,我们将使用脚本来验证提交表单时,用户输入的组名称是否已存在于 Active Directory 中。

        我们需要使用用户输入的名称创建 LDAP 查询。我们使用 Field() 宏来访问“名称”字段的值,并构建查询字符串,然后使用 Filter() 宏将其设置为查询过滤器。

        Filter() = '(&(objectCategory=group)(objectClass=group)(name=' + Field(name) + '))';

      5. 按照上面的示例,在“查询后操作”中,我们将检查查询返回的结果。结果作为与查询匹配的对象阵列返回,因此我们只需要检查阵列的长度是否大于 0。

        当找到匹配的组时,我们使用 Cancel() 宏来取消表单提交,向宏传递一条可选讯息以显示给用户。

        if (QueryResults().length > 0) { Cancel('A group with that name already exists, please enter a unique name.');}

    • 脚本: 插入自定义 JavaScript 代码或使用宏来构建脚本。

    • DRA 查询: 对于查询参数,以 JSON 格式定义有效负载,然后以与上述 LDAP 和 REST 查询类似的方式使用宏。

    • 讯息框处理程序: 在定义讯息框本身的属性后,以与上述 LDAP 和 REST 查询类似的方式使用宏,但不是使用“查询前”操作和“查询后”操作,而是撰写针对“显示前”操作和“关闭后”操作的宏脚本。

  4. 单击测试处理程序以在保存表单之前验证脚本。

    此操作将生成一个测试结果摘要,您可以在其中查看执行结果。

注:如果处理程序依赖于表单的当前状态(例如,某字段具有值时才处理),则它将无法成功执行,因为在编辑表单时不会装载任何数据。在这些情况下,需要在表单编辑器外部通过保存自定义、导航到相应表单以及填写所需数据来测试处理程序。

创建新对象属性页

要创建新对象属性页:

  1. 登录到 Web 控制台并导航到自定义 > 属性页面

  2. 在“任务”下,单击创建新行为

  3. 通过定义名称、图标、对象类型和操作配置来创建初始对象属性表单。

  4. 根据需要自定义新表单。请参见自定义对象属性页

自定义用户界面品牌化

您可以使用自己的标题和徽标图像自定义 DRA Web 控制台的标题栏。展示位置直接位于 DRA 产品名称的右侧。由于此位置也用于顶级导航,因此登录后会由顶级 DRA 导航链接隐藏。但是,浏览器选项卡将继续显示自定义标题。

要在 DRA 中自定义标题品牌化:

  1. 登录到 Web 控制台并导航到自定义 > 品牌化

  2. 如果要添加公司徽标,请将徽标图像保存到 Web 服务器上的 components\lib\img 目录下。

  3. 为品牌化自定义页面上的三个字段添加所需的信息(如果适用),然后保存更改。

2.1.4 统一的更改历史记录

有关配置 UCH 服务器的信息,请参见配置统一的更改历史记录服务器

搜索和生成统一的更改历史记录报告

您可以使用搜索选项搜索所有统一的更改报告或缩小搜索范围。您只能从 Web 控制台查看 UCH 报告。如果不使用参数进行搜索,则会列出所有 UCH 报告。添加搜索参数将过滤搜索中返回的报告。

重要说明:要生成 UCH 报告,您应具有生成 UI 报告的权限。

要搜索和生成统一的更改历史记录报告:

  1. 起动 Web 控制台。

  2. 转到管理 > 搜索

  3. 使用或不使用任何名称、位置或子容器准则执行搜索。

    如果未使用任何准则,搜索结果将返回所有对象。要缩小结果范围,请包括搜索准则。

  4. 单击搜索图标以显示搜索结果。

  5. 选择要为其生成报告的对象。

  6. 单击查看更改历史记录报告图标。

    更改历史记录报告准则中,您可以使用报告类型、目标对象、开始日期、结束日期、最大行数或服务器(DRA 或 Change Guardian 服务器)等准则编辑和生成报告。

  7. 单击生成以提取审计数据并生成 UCH 报告。

  8. 您可以将报告排序并导出为所需格式,例如 CSV 和 HTML。

查看统一的更改历史记录属性

要查看 UCH 配置服务器的属性,请导航到管理 > 集成 > 统一的更改历史记录,选择已配置的服务器,然后单击选项菜单以执行以下任何操作:

  • 属性: 查看和更新 UCH 属性。

  • 测试连接: 校验服务器连接。

  • 删除: 删除配置的 UCH 服务器。

2.1.5 访问用户的更改历史记录

您可以使用 Web 控制台查看对用户所做更改或用户所做更改的历史记录。您可以查看以下类型的更改:

  • 用户所作的更改

  • 对用户所作的更改

  • 用户创建的用户邮箱

  • 用户删除的用户邮箱

  • 用户建立的组和联系人电子邮件地址

  • 用户删除的组和联系人电子邮件地址

  • 用户创建或禁用的虚拟属性

  • 用户移动的对象

要查看或生成“更改历史记录”报告:

  1. 启动 Web 控制台。

  2. 搜索要查看其历史记录的对象。

  3. 单击查看更改历史记录报告图标。

  4. 要更改报告生成准则,请单击修改

    您可以更改开始日期或结束日期、跟踪的对象、报告类型和其他准则。

  5. 要创建报告的 CSV 文件,请单击生成

2.1.6 自动化工作流程

使用工作流程自动化,您可以通过起动在执行工作流程时或由在工作流程自动化服务器中创建的命名工作流程事件触发时运行的工作流程表单,来自动化 IT 流程。

工作流程表单在创建或修改时将保存到 Web 服务器。当您登录此服务器的 Web 控制台时,您将可以根据委托的权限以及表单的配置方式访问表单。表单通常可供具有 Web 服务器身份凭证的所有用户使用。提交表单的能力需要相应的权限。

起动工作流程表单: 工作流程在工作流程自动化服务器中创建,必须通过 Web 控制台与 DRA 集成。要保存新表单,您必须在表单属性中配置起动特定工作流程按事件触发工作流程选项。下面提供了有关这些选项的更多信息:

  • 起动特定工作流程: 此选项将列出 DRA 工作流程服务器中正在生产的所有可用工作流程。要在此列表中填充工作流程,需要在工作流程自动化服务器的 DRA_Workflows 文件夹中创建工作流程。

  • 按事件触发工作流程: 此选项用于执行具有预定义触发器的工作流程。带有触发器的工作流程也在工作流程自动化服务器中创建。

注:只有使用“起动特定工作流程”配置的工作流程表单,才会具有可在管理 > 请求下的主搜索窗格中查询的执行历史记录。

《Directory and Resource Administrator 管理员指南》中包含有关工作流程自动化的更多信息。