使用 DRA 來管理 Active Directory 任務的最低存取權限時有許多需要設定的元件和程序。包括一般和用戶端元件組態。本節提供需要針對 DRA 設定之一般元件和程序的資訊。
MMS 環境會使用多部管理伺服器來管理相同的網域和成員伺服器組。MMS 由一部主要管理伺服器及多部次要管理伺服器所組成。
管理伺服器的預設模式是「主要」。當您將次要伺服器新增至 MMS 環境時,請謹記次要管理伺服器只能屬於一個伺服器組。
若要確保組合中每部伺服器管理相同的資料,請定期同步化次要伺服器與主要管理伺服器。若要減少維護,請對網域樹系中的所有管理伺服器使用相同的服務帳戶。
重要:
安裝次要伺服器時,請選取安裝程式中的 次要管理伺服器。
新的次要伺服器的 DRA 版本必須與主要 DRA 伺服器相同,才能在次要伺服器中使用所有主要伺服器提供的功能。
您可以將次要管理伺服器新增至「委託和組態」用戶端中現有的 MMS。您必須擁有適當的權限,才能新增次要伺服器。例如,包含在內建的「設定伺服器和網域」角色中的權限。
附註:為了成功新增次要伺服器,您必須先在管理伺服器電腦上安裝 Directory and Resource Administrator 產品。如需詳細資訊,請參閱 安裝 DRA 管理伺服器。
若要新增次要管理伺服器,請以滑鼠右鍵按一下「組態管理」節點上的管理伺服器,然後選取新增次要伺服器。
您可以將次要管理伺服器升級為主要管理伺服器。當您將次要管理伺服器升級為主要管理伺服器時,現有的主要管理伺服器會變成伺服器組中的次要管理伺服器。您必須擁有適當的權限,才能升級次要管理伺服器,例如,包含在內建的「設定伺服器和網域」角色中的權限。在升級次要管理伺服器之前請同步化 MMS,以便讓它具有最新的組態。
如需同步化 MMS 的詳細資訊,請參閱 排程同步。
附註:新升級的主要伺服器只能連接至在升級程序期間可用的次要伺服器。如果次要伺服器在升級程序期間變成無法使用,請聯絡技術支援。
若要升級次要管理伺服器:
導覽至Configuration Management (組態管理) > Administration Servers (管理伺服器) 節點。
在右窗格中,選取您想要升級的次要管理伺服器。
在「任務」功能表上,按一下 Advanced (進階) > Promote Server (升級伺服器)。
重要:當次要伺服器的服務帳戶與主要伺服器不同,或是次要伺服器安裝在與主要伺服器不同的網域上 (受信任網域/非受信任網域),而且您升級次要伺服器時,請確定您在升級次要伺服器之前委託下列角色:稽核所有物件、設定伺服器和網域以及產生 UI 報告。然後驗證 MMS 同步化已成功。
您可以將主要管理伺服器降級為次要管理伺服器。您必須擁有適當的權限,才能降級主要管理伺服器,例如,包含內建的「設定伺服器和網域」角色中的權限。
若要降級主要管理伺服器:
導覽至 Configuration Management (組態管理) > Administration Servers (管理伺服器) 節點。
在右窗格中,選取您想要降級的主要管理伺服器。
在「任務」功能表上,按一下 Advanced (進階) > Demote Server (降級伺服器)。
指定您想要指定為新主要管理伺服器的電腦,然後按一下確定。
同步會確定 MMS 中的所有管理伺服器都使用相同的組態資料。雖然您可以隨時手動同步化伺服器,但是預設排程設為每 4 小時同步化 MMS。您可以修改此排程以符合您的企業需求。
您必須擁有適當的權限,才能修改同步排程或是手動同步化 MMS 伺服器,例如,包含在內建的「設定伺服器和網域」角色中的權限。
若要存取同步排程或者要手動同步化,請導覽至 Configuration Management (組態管理) > Administration Servers (管理伺服器),然後使用 Tasks (任務) 功能表或以滑鼠右鍵按一下所選伺服器上的選項。同步排程位於所選伺服器的「內容」中。
瞭解同步選項
同步 MMS 伺服器基本上有四個不同的選項:
選取主要伺服器並且同步化所有次要伺服器「Synchronize All Servers」(同步化所有伺服器)
選取次要伺服器並且僅同步化該伺服器
針對主要和次要伺服器獨立設定同步排程
針對所有伺服器設定同步排程。當您在主要伺服器同步排程中選取下列設定時,系統會啟用此選項:
Configure secondary Administration servers when refreshing the primary Administration server (當重新整理主要管理伺服器時設定次要管理伺服器)
附註:如果您取消勾選此選項,組態檔案會複製到主要排程上的次要伺服器,但是屆時不會由次要伺服器載入,而是根據在次要伺服器上設定的排程來載入。如果伺服器是在不同的時區,這個選項相當實用。例如,即使時間會因為時區而不同,您可以將所有伺服器設定為在午夜時重新整理其組態。
複製例外狀況可讓您定義使用者、群組、聯絡人及電腦的內容,在複製其中一個物件時不會複製該項目。
如果擁有適當權限,您便可以管理複製例外狀況。「管理複製例外狀況」角色會授與檢視、建立及刪除複製例外狀況的能力。
若要檢視或刪除現有複製例外狀況,或者要建立新的複製例外狀況,請導覽至 Configuration Management (組態管理) > Clone Exceptions (複製例外狀況) > Tasks (任務) 或以滑鼠右鍵按一下功能表。
當您建立自訂工具時,可能需要先安裝 DRA「委託和組態主控台」電腦上的自定工具所使用的支援檔案,自訂工具才能夠執行。您可以使用 DRA 檔案複寫功能快速輕易地將自定工具支援檔案從主要管理伺服器複寫至 MMS 中的次要管理伺服器,以及複寫至 DRA 用戶端電腦。檔案複寫也可以用來將觸發程序檔從主要伺服器複寫至次要伺服器。
您可以一併使用自定工具和檔案複寫來確保 DRA 用戶端電腦可以存取自定工具檔案。DRA 會將自定工具檔案複寫至次要管理伺服器,以確保連接至次要管理伺服器的 DRA 用戶端電腦可以存取自定工具。
DRA 會在 MMS 同步程序期間,將主要管理伺服器上的自定工具檔案複寫至次要管理伺服器。當 DRA 用戶端電腦連接至管理伺服器時,DRA 會將自定工具檔案下載到 DRA 用戶端電腦。
附註:DRA 會將自定工具檔案下載到 DRA 用戶端電腦上的下列位置:
{DRAInstallDir} \{MMS ID}\Download
MMSID 是多主機組的識別碼,DRA 會從該位置下載自定工具檔案。
當您將檔案上傳至主要管理伺服器時,您會在 MMS 組合中的主要管理伺服器與所有次要管理伺服器之間指定想要上傳及複寫的檔案。DRA 可讓您上傳文件庫檔案、程序檔檔案及可執行檔檔案。
「複寫檔案」角色可讓您從主要管理伺服器將檔案複寫至 MMS 中的所有次要管理伺服器以及 DRA 用戶端電腦。「複寫檔案」角色包含下列權限:
從伺服器刪除檔案: 這個權限可讓 DRA 刪除不再存在於主要管理伺服器、次要管理伺服器及 DRA 用戶端電腦上的檔案。
設定檔案資訊: 這個權限可讓 DRA 更新在次要管理伺服器上之檔案的檔案資訊。
將檔案上傳至伺服器: 這個權限可讓 DRA 從 DRA 用戶端電腦將檔案上傳至主要管理伺服器。
附註:使用「委託和組態」主控台中的「檔案複寫」使用者介面時,您一次只能上傳一個檔案進行複寫。
若要將自定工具檔案上傳至主要管理伺服器:
導覽至 Configuration Management (組態管理) > File Replication (檔案複寫)。
在「任務」功能表上,按一下上傳檔案。
若要搜尋及選取您想要上傳的檔案,請按一下瀏覽。
如果您想要將選取的檔案下載至所有 DRA 用戶端電腦,請選取Download to all client computers (下載至所有用戶端電腦) 核取方塊。
如果您想要註冊 COM 文件庫,請選取 Register COM library (註冊 COM 文件庫) 核取方塊。
按一下「確定」。
附註:
DRA 會將需要複寫至其它次要管理伺服器的程序檔檔案或支援檔案,上傳至主要管理伺服器的 {DRAInstallDir}\FileTransfer\Replicate 資料夾。{DRAInstallDir}\FileTransfer\Replicate 資料夾也稱為 {DRA_Replicated_Files_Path}。
DRA 會將需要複寫的程序檔檔案或支援檔案,上傳至 DRA 用戶端電腦中主要管理伺服器的 {DRAInstallDir}\FileTransfer\Download 資料夾。
上傳至主要管理伺服器的自定工具檔案會在下一個編程同步化時或者透過手動同步,分散到次要管理伺服器。
如果您有多個檔案想要在 MMS 中的主要管理伺服器與次要管理伺服器之間上傳及複寫,您可以藉由將檔案複製到主要管理伺服器複寫目錄 (位置如下),手動上傳這些檔案以進行複寫:
{DRAInstallDir}\FileTransfer\Replicate
複寫目錄是在安裝 DRA 時建立的。
管理伺服器會自動識別複寫目錄中的檔案,並且在下一個編程同步化期間於管理伺服器之間複寫檔案。同步之後,DRA 會在「委託和組態」主控台的「檔案複寫」視窗中顯示已上傳的檔案。
附註:如果您想要複寫的檔案包含必須註冊的 COM 文件庫,您就無法手動將檔案複製到管理伺服器複寫目錄。您必須使用「委託和組態」主控台來上傳每個檔案並且註冊 COM 文件庫。
如果您有多個檔案想要在主要管理伺服器與 DRA 用戶端電腦之間複寫,您可以將檔案複製到主要管理伺服器上的用戶端複寫目錄,位置如下:
{DRAInstallDir}\FileTransfer\Download
用戶端複寫目錄是在安裝 DRA 時建立的。
管理伺服器會自動識別下載資料夾中的檔案,並且在下一個編程同步化期間將檔案複寫至次要管理伺服器。同步之後,DRA 會在「委託和組態」主控台的「檔案複寫」視窗中顯示已上傳的檔案。DRA 會在 DRA 用戶端電腦於複寫之後第一次連接至管理伺服器時,將複寫的檔案下載至 DRA 用戶端電腦。
附註:如果您想要複寫的檔案包含必須註冊的 COM 文件庫,您就無法將檔案複製到管理伺服器下載目錄。您必須使用「委託和組態」主控台來上傳每個檔案並且註冊 COM 文件庫。
當啟用 AD Domain Services 稽核時,如果已設定 DRA 服務帳戶或網域存取帳戶其中之一,則 DRA 事件會記錄為已由上述其中一個帳戶產生。「事件戳記」會進一步採用這個功能,產生額外的 AD DS 事件,該事件會識別執行操作的助理管理員。
針對要產生的事件,您必須設定 AD DS 稽核並且在 DRA 管理伺服器上啟用「事件戳記」。啟用「事件戳記」後,您將能檢視助理管理員在「變更監控事件」報告中所做的變更。
若要設定 AD DS 稽核,請參閱 Microsoft 參考《AD DS 稽核逐步指南》
若要設定「變更監控」整合,請參閱設定整合的變更歷程伺服器。
若要啟用「事件戳記」,請以 DRA 管理員身分開啟「委託和組態」主控台,然後執行下列動作:
導覽至 Configuration Management (組態管理) > Update Administration Server Options (更新管理伺服器選項) > Event Stamping (事件戳記)。
選取物件類型,然後按一下更新。
選取要用於該物件類型之「事件戳記」的屬性。
DRA 目前針對使用者、群組、聯絡人、電腦及組織單位支援「事件戳記」。
DRA 也需要屬性存在於您每個管理的網域的 AD 綱要中。如果您在設定「事件戳記」之後新增受管理的網域,您應該要知道這個情形。如果您新增的管理的網域其中未包含選取的屬性,來自該網域的操作不會以「事件戳記」資料進行稽核。
DRA 將會修改這些屬性,因此您應該選取 DRA 或您的環境中任何其它應用程式未使用的屬性。
如需關於「事件戳記」的詳細資訊,請參閱事件戳記的運作方式。
Azure 同步化可讓您強制執行無效字元和字元長度規則,以防止目錄同步失敗。選取此選項將確保與 Azure Active Directory 同步化的任何內容,將會限制無效的字元並強制執行字元長度限制。
若要啟用 Azure 同步化:
在左側窗格中,按一下 Configuration Management (組態管理)。
在右窗格的「通用任務」下方,按一下 Update Administration Server Options (更新管理伺服器選項)。
在「Azure 同步化」索引標籤上,選取對無效的字元和字元長度強制使用線上信箱規則。
當您啟用多管理員管理群組的支援時,系統會使用兩個預設屬性其中之一來儲存群組的管理員。當執行 Microsoft Exchange 時的屬性是 msExchCoManagedByLink 屬性。未執行 Microsoft Exchange 時的預設屬性是 nonSecurityMember 屬性。後者選項可以修改。但是,如果您需要變更此設定,我們建議您聯絡技術支援以決定適當的屬性。
若要針對群組啟用多管理員支援:
在左側窗格中,按一下 Configuration Management (組態管理)。
在右窗格的「通用任務」下方,按一下 Update Administration Server Options (更新管理伺服器選項)。
在「啟用群組多管理員支援」索引標籤上,選取 Enable support for group’s multiple managers (啟用群組的多管理員支援) 核取方塊。
此功能可讓您啟用或停用在「委託和組態」用戶端與管理伺服器之間使用加密的通訊。根據預設,DRA 會加密帳戶密碼。此功能不會加密 Web 用戶端或 PowerShell 通訊,這些項目由伺服器證書個別處理。
使用加密的通訊會影響效能。加密的通訊預設為停用。如果您啟用此選項,使用者介面與管理伺服器之間通訊期間的資料會加密。DRA 會針對遠端程序呼叫 (RPC) 使用 Microsoft 標準加密。
若要啟用加密的通訊,請導覽至 (Configuration Management) 組態管理 > Update Administration Server Options (更新管理伺服器選項) > General (一般) 索引標籤,然後選取 Encrypted Communications (加密的通訊) 核取方塊。
附註:若要加密管理伺服器與使用者介面之間的所有通訊,您必須擁有適當的能力,例如內建「設定伺服器和網域」角色中所包含的權限。
使用虛擬屬性,您可以建立新的內容並且讓這些內容與使用者、群組、動態通訊群組、聯絡人、電腦及 OU 產生關聯。虛擬屬性可讓您建立新的內容,而不需要您延伸 Active Directory 綱要。
使用虛擬屬性,您可以將新內容新增至 Active Directory 中的物件。您只能建立、啟用、停用、關聯及取消關聯主要管理伺服器上的虛擬屬性。DRA 會儲存您在 AD LDS 中建立的虛擬屬性。DRA 會在 MMS 同步程序期間,將主要管理伺服器上的虛擬屬性複寫至次要管理伺服器。
如果擁有適當權限,您便可以管理虛擬屬性。「管理虛擬屬性」角色會授與建立、啟用、關聯、取消關聯、停用及檢視虛擬屬性的權限。
您需要建立虛擬屬性權限才能建立虛擬屬性,需要檢視虛擬屬性權限才能檢視虛擬屬性。
若要建立虛擬屬性,請導覽至 Configuration Management (組態管理) > Virtual Attributes (虛擬屬性) > Managed Attributes (受管理的屬性) 節點,然後按一下「任務」功能表上的 New Virtual Attribute (新增虛擬屬性)。
您只能讓已啟用的虛擬屬性與 Active Directory 物件產生關聯。一旦讓虛擬屬性與物件產生關聯,虛擬屬性就可以作為物件內容的一部分。
若要透過 DRA 使用者介面公開虛擬屬性,您需要建立自定內容頁。
若要讓虛擬屬性與物件產生關聯,請導覽至 Configuration Management (組態管理) > Virtual Attributes (虛擬屬性) > Managed Attributes (受管理的屬性) 節點,以滑鼠右鍵按一下您想要使用的虛擬屬性,然後選取 Associate (關聯) > (物件類型)。
附註:
您只能讓虛擬屬性與使用者、群組、動態通訊群組、電腦、聯絡人及 OU 產生關聯。
當您讓虛擬屬性與物件產生關聯時,DRA 會自動建立兩個預設自定權限。助理管理員需要這些自定權限才能管理虛擬屬性。
您可以從 Active Directory 物件取消虛擬屬性的關聯。您建立的任何新物件在物件內容中都不會顯示取消關聯的虛擬屬性。
若要從 Active Directory 物件取消虛擬屬性的關聯,請導覽至 Configuration Management (組態管理) > Virtual Attributes(虛擬屬性) > Managed Classes (受管理的類別) > (物件類型) 節點。以滑鼠右鍵按一下虛擬屬性,然後選取 Disassociate (取消關聯)。
如果虛擬屬性未與 Active Directory 物件產生關聯,您可以停用虛擬屬性。當您停用虛擬屬性時,管理員無法檢視或讓虛擬屬性與物件產生關聯。
若要停用虛擬屬性,請導覽至 Configuration Management (組態管理) > Managed Attributes (受管理的屬性)。在清單窗格中以滑鼠右鍵按一下想要的屬性,然後選取 Disable (停用)。
管理伺服器會建立及維護帳戶快取,其中包含 Active Directory 的管理的網域部分。DRA 會在管理使用者帳戶、群組、聯絡人及電腦帳戶時,使用帳戶快取來改善效能。
您必須擁有適當的權限,才能排程快取重新整理時間或檢視快取狀態,例如,包含在內建的「設定伺服器和網域」角色中的權限。
附註:若要在包含受管理子樹狀結構的網域中執行遞增的帳戶快取,請確保服務帳戶具有「刪除的物件」容器的讀取權限,以及子樹狀結構網域中所有物件的讀取權限。您可以使用「刪除的物件公用程式」來驗證及委託適當的權限。
遞增的帳戶快取重新整理只會更新自從上次重新整理之後變更的資料。遞增的重新整理提供簡化的方式,與您持續變化的 Active Directory 保持同步。使用遞增的重新整理以快速地更新帳戶快取,而且對企業產生最小的影響。
重要:Microsoft 伺服器將同時連線至 WinRM/WinRS 工作階段的使用者數量限制為五位,並將每位使用者的 Shell 數量限制為五個,以確保 DRA 次要伺服器的相同使用者帳戶受到五個 Shell 的限制。
遞增的重新整理會更新下列資料:
新的和複製的物件
刪除的和移動的物件
群組成員
已修改物件的所有已快取物件內容
完整帳戶快取重新整理會針對指定的網域重建 DRA 的帳戶快取。
附註:當完整帳戶快取重新整理執行時,DRA 使用者無法使用網域。
您必須擁有適當的權限,才能重新整理帳戶快取,例如,包含在內建的設定伺服器和網域
角色中的權限。
若要執行立即完整帳戶快取重新整理:
導覽至 Configuration Management (組態管理) > Managed Domains (受管理的網域)。
以滑鼠右鍵按一下想要的網域,然後選取內容。
按一下 Full refresh (完整重新整理) 索引標籤中的 Refresh Now (立即重新整理)。
您應該重新整理帳戶快取的頻率,取決於您的企業變更的頻率。使用遞增的重新整理以經常更新帳戶快取,確保 DRA 具有最新的 Active Directory 相關資訊。
根據預設,管理伺服器會在以下時間執行遞增的帳戶快取重新整理:
|
領域類型 |
預設排程重新整理時間 |
|---|---|
|
受管理的網域 |
每 5 分鐘 |
|
信任的網域 |
每小時 |
您無法排程 FACR,但是,DRA 會在以下情況時執行自動 FACR:
在您第一次設定受管理的網域之後。
在您將 DRA 從舊版升級到完整版本之後。
在您安裝 DRA 服務包之後。
執行完整帳戶快取重新整理需要數分鐘的時間。
您必須定期重新整理帳戶快取,以確保 DRA 具有最新的資訊。在執行或排程帳戶快取重新整理之前,請檢閱下列考量事項:
若要執行遞增的帳戶快取重新整理,管理伺服器服務帳戶或存取帳戶必須有存取受管理或受信任網域之 Active Directory 中已刪除物件的權限。
當 DRA 執行帳戶快取重新整理時,管理伺服器不會包含來自受信任網域的網域本機安全性群組。因為快取不包含這些群組,所以 DRA 不允許您從受信任網域將網域本機安全性群組,新增至受管理成員伺服器上的本機群組。
如果您從帳戶快取重新整理略過受信任網域,管理伺服器也會從網域組態重新整理略過該網域。
如果您在帳戶快取重新整理中包含先前略過的受信任網域,則會針對管理的網域執行完整帳戶快取重新整理。這樣可確保管理的網域之管理伺服器上的帳戶快取,會正確反映您受管理或受信任網域中的群組成員資格資料。
如果您將遞增的帳戶快取重新整理間隔設為永不,管理伺服器只會執行完整帳戶快取重新整理。完整帳戶快取重新整理需要一些時間,在這段時間內您無法管理此網域中的物件。
DRA 無法自動判斷變更是何時透過其它工具 (例如 Microsoft Directory Services ) 執行的。在 DRA 外部執行的操作會影響快取資訊的正確性。例如,如果您使用其它工具將信箱新增至使用者帳戶,在您更新帳戶快取之前,無法使用 Exchange 來管理此信箱。
執行完整帳戶快取重新整理會刪除快取中維護的上次登入統計資料。然後管理伺服器會從所有網域控制器收集上次登入資訊。
AD 印表機收集預設為停用。若要啟用,請導覽至組態管理>更新管理伺服器選項>一般索引標籤,然後選取「收集印表機」核取方塊。
您可以對特定網域設定 AD LDS 清理重新整理以在排程時間執行。預設設定是「永不」重新整理。您也可以檢視清理狀態以及檢視與 AD LDS (ADAM) 組態相關的特定資訊。
若要設定排程或檢視 AD LDS 清理的狀態,以滑鼠右鍵按一下 Account and Resource Management (帳戶和資源管理) > All My Managed Objects (我的所有受管理物件) 節點中想要的網域,然後分別選取 Properties (內容)> Adlds Cleanup Refresh Schedule (Adlds 清理重新整理排程) 或 Adlds Cleanup status (Adlds 清理狀態)。
若要檢視 AD LDS (ADAM) 組態資訊,請導覽至 Configuration Management (組態管理) > Update Server Options (更新伺服器選項) > ADAM Configuration (ADAM 組態)。
動態群組是一個其成員資格變更,根據您在群組內容中設定之已定義準則組的群組。在「網域內容」中,您可以設定特定網域的動態群組重新整理在排程時間執行。預設設定是「永不」重新整理。您也可以檢視重新整理狀態。
若要設定排程或檢視動態群組重新整理的狀態,以滑鼠右鍵按一下 Account and Resource Management (帳戶和資源管理) > All My Managed Objects (我的所有受管理物件) 節點中想要的網域,然後分別選取 Properties (內容) > Dynamic group refresh (動態群組重新整理) 或 Dynamic group status (動態群組狀態)。
如需關於動態群組的詳細資訊,請參閱DRA 動態群組。
您可以針對每個 Microsoft Windows 網域或每個網域內的物件啟用或停用資源回收筒,以及設定您想要在何時及如何進行資源回收筒清理。
如需關於使用資源回收筒的詳細資訊,請參閱資源回收筒。
您可以針對特定 Microsoft Windows 網域和這些網域內的物件啟用資源回收筒。根據預設,DRA 會針對它管理的每個網域及網域的所有物件啟用資源回收筒。您必須是 DRA 管理員或 DRA 組態管理員群組的成員,才能啟用資源回收筒。
如果您的環境包含下列組態,請使用資源回收筒公用程式以啟用此功能:
DRA 管理此網域的子樹狀結構。
管理伺服器服務或存取帳戶沒有建立資源回收筒容器、將帳戶移至此容器,以及修改此容器中帳戶的權限。
您也可以使用資源回收筒公用程式,來驗證管理伺服器服務或存取帳戶在資源回收筒容器上的權限。
若要啟用資源回收筒,以滑鼠右鍵按一下資源回收筒節點中想要的網域,然後選取啟用資源回收筒。
您可以針對特定 Microsoft Windows 網域和這些網域內的物件停用資源回收筒。如果已停用的資源回收筒包含帳戶,您就無法檢視、永久刪除或還原這些帳戶。
您必須是 DRA 管理員或 DRA 組態管理員助理管理員群組的成員,才能停用資源回收筒。
若要停用資源回收筒,以滑鼠右鍵按一下資源回收筒節點中想要的網域,然後選取停用資源回收筒。
資源回收筒清理的預設設定為每天。您可以將此組態變更為每 x 天清理網域資源回收筒。在排程清理期間,資源回收筒會刪除比您針對每個物件類型所設定天數更舊的物件。每個類型的預設設定是刪除 1 天以前的物件。您可以藉由停用、重新啟用及設定要針對每個物件類型刪除的物件留存期,自定資源回收筒清理的行為。
若要設定資源回收筒清理,請選取「委託和組態」主控台中想要的網域,然後移至任務>內容>資源回收筒索引標籤。
下列章節提供 DRA 管理報告和您可以啟用之報告收集器的概念資訊。若要存取您可以在其中設定收集器的精靈,請導覽至 Configuration Management (組態管理) > Update Reporting Service Configuration (更新報告服務組態)。
Active Directory Collector 會從 Active Directory 收集 DRA 中每個受管理使用者、群組、聯絡人、電腦、OU 及動態通訊群組的指定屬性組。這些屬性是儲存在報告資料庫中,用來在報告主控台中產生報告。
您可以設定 Active Directory Collector 以指定要收集哪些屬性以及在報告資料庫中儲存哪些屬性。您也可以設定收集器在哪個 DRA 管理伺服器上執行。
DRA Collector 會收集您的 DRA 組態的相關資訊,並且將該資訊儲存在報告資料庫中,該資訊是用來在報告主控台中產生報告。
若要啟用 DRA Collector,您必須指定收集器在哪個 DRA 管理伺服器上執行。最佳實務是您排程 DRA Collector在 Active Directory Collector 成功執行之後執行,以及在伺服器負載最少或一般上班時間以外的期間執行。
Azure 租用戶收集器會收集已同步化到 Azure Active Directory 租用戶之 Azure 使用者和群組的相關資訊,並且將該資訊儲存到報告資料庫中,該資訊是用來在報告主控台中產生報告。
若要啟用 Azure 租用戶收集器,您必須指定收集器在哪個 DRA 管理伺服器上執行。
附註:Azure 租用戶只能在其對應的網域 Active Directory Collector 成功執行收集之後,成功執行收集。
管理報告收集器會收集 DRA 稽核資訊,並且將該資訊儲存在報告資料庫中,該資訊是用來在報告主控台中產生報告。當您啟用收集器時,可以針對在 DRA 報告工具中執行的查詢,設定資料在資料庫中更新的頻率。
此組態需要 DRA 服務帳戶具有報告伺服器上 SQL Server 中的 sysadmin 權限。可設定選項定義如下:
稽核輸出資料間隔:這是稽核資料從 DRA 追蹤記錄 (LAS) 輸出到 SQL Server 中「SMCubeDepot」資料庫的時間間隔。
管理報告摘要間隔:這是稽核資料從 SMCubeDepot 資料庫抽入 DRA 報告資料庫的時間間隔,稽核資料可以在該報告資料庫中由 DRA 報告工具查詢。
您可以設定 DRA 從管理的網域中的所有網域控制器收集上次登入統計資料。您必須擁有適當的權限,才能啟用及排程上次登入統計資料蒐集,例如,包含在內建的「設定伺服器和網域」角色中的權限。
根據預設,上次登入統計資料蒐集功能為停用。如果您想要蒐集上次登入統計資料,則必須啟用此功能。一旦您啟用上次登入統計資料蒐集,您便可以檢視特定使用者的上次登入統計資料,或顯示上次登入統計資料蒐集的狀態。
若要蒐集上次登入統計資料:
導覽至 Configuration Management (組態管理) > Managed Domains (受管理的網域)。
以滑鼠右鍵按一下想要的網域,然後選取內容。
按一下上次登入排程索引標籤以設定上次登入統計資料收集。
「整合的變更歷程伺服器」功能可讓您產生報告針對在 DRA 外部進行的變更產生報告。
若要管理整合的變更歷程伺服器,請將「整合的變更歷程伺服器管理」角色或以下適當的權限指定給助理管理員:
刪除整合的變更歷程伺服器組態
設定整合的變更歷程組態資訊
檢視整合的變更歷程組態資訊
若要委託「整合的變更歷程伺服器」權限:
按一下「委託管理」節點中的權限,然後使用搜尋物件功能以尋找並選取您想要的 UCH 權限。
以滑鼠右鍵按一下其中一個選取的 UCH 權限,然後選取委託角色和權限。
搜尋您想要委託權限的特定使用者、群組或助理管理員群組。
使用物件選擇器以尋找及新增您想要的物件,然後按一下精靈中的角色和權限。
按一下「ActiveViews」,然後使用物件選擇器以尋找及新增您想要的「ActiveViews」。
按下一步然後按一下完成以完成委託程序。
若要設定整合的變更歷程伺服器:
登入委託和組態主控台。
展開「組態管理 > 整合伺服器」。
以滑鼠右鍵按一下「整合變更歷程」,並選取「新增整合的變更歷程伺服器」。
在整合的變更歷程組態中,指定 UCH 伺服器名稱或 IP 位址、連接埠號碼、伺服器類型和存取帳戶詳細資料。
測試伺服器連線,然後按一下「完成」以儲存組態。
視需要新增額外伺服器。
若要管理工作流程,請指定「自動化工作流程伺服器管理」角色或以下適當的權限指定給助理管理員:
建立工作流程事件和修改所有內容
刪除工作流程自動化伺服器組態
設定工作流程自動化伺服器組態資訊
啟動工作流程
檢視所有工作流程事件內容
檢視所有工作流程內容
檢視工作流程自動化伺服器組態資訊
若要委託自動化工作流程伺服器組態權限:
按一下「委託管理」節點中的權限,然後使用搜尋物件功能以尋找並選取您想要的工作流程權限。
以滑鼠右鍵按一下其中一個選取的工作流程權限,然後選取委託角色和權限。
搜尋您想要委託權限的特定使用者、群組或助理管理員群組。
使用物件選擇器以尋找及新增您想要的物件,然後按一下精靈中的角色和權限。
按一下「ActiveViews」,然後使用物件選擇器以尋找及新增您想要的「ActiveViews」。
按下一步然後按一下完成以完成委託程序。
若要在 DRA 中使用自動化工作流程,您必須在 Windows Server 上安裝工作流程引擎,然後透過「委託和組態」主控台設定「自動化工作流程」伺服器。
若要設定自動化工作流程伺服器:
登入委託和組態主控台。
針對自動化工作流程權限,請參閱委託工作流程自動化伺服器組態權限。
展開「組態管理 > 整合伺服器」。
以滑鼠右鍵按一下「自動化工作流程」,並選取新增自動化工作流程伺服器。
在新增自動化工作流程伺服器精靈中,指定詳細資料,例如伺服器名稱、連接埠、通訊協定和存取帳戶。
測試伺服器連線,然後按一下「確定」以儲存組態。
如需安裝工作流程引擎的詳細資訊,請參閱《自動化工作流程管理員指南》。
DRA 可讓您搜尋內部部署 Active Directory 網域中的 LDAP 物件,例如使用者、連絡人、電腦、群組以及來自 LDAP 伺服器的 OU。DRA 伺服器仍會處理操作,並且為執行搜尋所在的網域控制器。使用搜尋篩選以獲得更有效率且有效的搜尋。同時,您可以儲存搜尋查詢供未來使用,並且可與公眾共享或將其標示為私人供自己使用。您可以編輯儲存的查詢。LDAP 進階查詢角色會授予助理管理員權限,以建立和管理 LDAP 搜尋查詢。使用下列權限來委託 LDAP 搜尋查詢的建立和管理:
建立私人進階查詢
建立公用進階查詢
刪除公用進階查詢
執行進階查詢
執行儲存進階查詢
修改公用查詢
檢視進階查詢
若要委託 LDAP 查詢權限:
按一下「委託管理」節點中的權限,然後使用搜尋物件功能以尋找並選取您想要的「進階 LDAP 權限」。
以滑鼠右鍵按一下其中一個選取的 LDAP 權限,然後選取委託角色和權限。
搜尋您想要委託權限的特定使用者、群組或助理管理員群組。
使用物件選擇器以尋找及新增您想要的物件,然後按一下精靈中的角色和權限。
按一下「ActiveViews」,然後使用物件選擇器以尋找及新增您想要的「ActiveViews」。
按下一步然後按一下完成以完成委託程序。
若要存取 Web 主控台中的搜尋功能,請導覽至「管理 > LDAP 搜尋」。