Users Guide

Active Directory-Schemaerweiterungen
Bei den Active Directory-Daten handelt es sich um eine verteilte Datenbank von Attributen und Klassen. Das Active Directory-SchemaenthältdieRegeln,die
denTypderDatenbestimmen,diederDatenbankhinzugefügtwerdenkönnenbzw.daringespeichertwerden.DieBenutzerklasseisteinBeispieleiner
Klasse, die in der Datenbank gespeichert wird. Beispielhafte Attribute der Benutzerklasse sind der Vorname, der Nachname bzw. die Telefonnummer des
Benutzers.FirmenkönnendieActiveDirectory-Datenbankerweitern,indemsieihreeigeneneinzigartigenAttributeundKlassenhinzufügen,um
umgebungsspezifischeAnforderungenzuerfüllen.DellhatdasSchemaumdieerforderlichenÄnderungenzurUnterstützungvonRemote-Management-
Authentifizierung und -Autorisierung erweitert.
Jedes Attribut bzw. jede Klasse, das/die zu einem vorhandenen Active Directory-Schemahinzugefügtwird,mussmiteinereindeutigenIDdefiniertwerden.Um
branchenweiteindeutigeIDszugewährleisten,unterhältMicrosofteineDatenbankvonActiveDirectory-Objektbezeichnern (OIDs). Wenn also Unternehmen
das Schema erweitern, sind diese Erweiterungen eindeutig und ergeben keine Konflikte. Um das Schema im Active Directory von Microsoft zu erweitern, hat
Dell eindeutige OIDs (Namenserweiterungen) und eindeutig verlinkte Attribut-IDsfürdieAttributeundKlassenerhalten,diedemVerzeichnisdienst
hinzugefügtwerden.
Dell-Erweiterung: dell
Grund-OID von Dell: 1.2.840.113556.1.8000.1280
RACLinkID-Bereich: 12070 to 12079
ÜbersichtüberdieiDRAC-Schemaerweiterungen
UminderVielzahlvonKundenumgebungendiegrößteFlexibilitätzubieten,stelltDelleineGruppevonObjektenbereit,die,abhängigvondengewünschten
Ergebnissen,vomBenutzerkonfiguriertwerdenkönnen.DellhatdasSchemaumZuordnungs-, Geräte- und Berechtigungseigenschaften erweitert. Die
ZuordnungseigenschaftwirdzurVerknüpfungderBenutzeroderGruppenmiteinemspezifischenSatzanBerechtigungenfüreinodermehrereiDRAC-Geräte
verwendet.DiesesModellistunkompliziertundgibtdemAdministratorhöchsteFlexibilitätbeiderVerwaltungverschiedenerBenutzergruppen,iDRAC-
Berechtigungen und iDRAC-GerätenimNetzwerk.
Active Directory - Objektübersicht
FürjedenphysischeniDRACaufdemNetzwerk,denSiezurAuthentifizierungundAutorisierunginActiveDirectoryintegrierenmöchten,müssenSiemindestens
ein Zuordnungsobjekt und ein iDRAC-Geräteobjekterstellen.SiekönnenmehrereZuordnungsobjekteerstellen,wobeijedesZuordnungsobjektnachBedarf
mit beliebig vielen Benutzern, Benutzergruppen, oder iDRAC-Geräteobjektenverbundenwerdenkann.DieBenutzerundiDRAC-Benutzergruppenkönnen
MitgliederbeliebigerDomänenimUnternehmensein.
Jedes Zuordnungsobjekt darf jedoch nur mit einem Berechtigungsobjekt verbunden werden (bzw. jedes Zuordnungsobjekt kann Benutzer, Benutzergruppen
oder iDRAC-GeräteobjektenurmiteinemBerechtigungsobjektverbinden).DiesesBeispielermöglichtdemAdministrator,dieBerechtigungenjedesBenutzers
auf spezifischen iDRACs zu steuern.
Das iDRAC-GeräteobjektistdieVerknüpfungzuriDRAC-FirmwarefürdieAuthentifizierungundAutorisierungmitActiveDirectory.WenndemNetzwerkein
iDRAChinzugefügtwird,mussderAdministratordeniDRACundseinGeräteobjektmitseinemActiveDirectory-Namen so konfigurieren, dass Benutzer mit dem
ActiveDirectoryAuthentifizierungenundAutorisierungenausführenkönnen.DerAdministratormusszudemdeniDRACmindestenseinemZuordnungsobjekt
hinzufügen,damitBenutzerAuthentifizierungenvornehmenkönnen.
Abbildung7-1zeigt,dassdasZuordnungsobjektdieVerbindungbereitstellt,diefürdiegesamteAuthentifizierungundAutorisierungerforderlichist.
Abbildung 7-1.TypischesSetupfürActiveDirectory-Objekte
SiekönnenjenachBedarfeinebeliebigeAnzahlvonZuordnungsobjektenerstellen.Esistjedocherforderlich,dassSiemindestenseinZuordnungsobjekt
erstellen, und es muss ein iDRAC-GeräteobjektfürjedeniDRACaufdemNetzwerkvorhandensein,daszumZweckderAuthentifizierungundAutorisierungmit
dem iDRAC beim Active Directory integriert werden soll.
DasZuordnungsobjektlässtebensovieleoderwenigeBenutzerbzw.GruppenundauchiDRAC-Geräteobjektezu.DasZuordnungsobjektenthältjedochnur
ein Berechtigungsobjekt pro Zuordnungsobjekt. Das Zuordnungsobjekt verbindet die Benutzer, die Berechtigungen auf den iDRACs haben.
ÜberdieDell-Erweiterung zum Active Directory-Benutzer- und -Computer-MMC-Snap-InkönnennurBerechtigungsobjekteundiDRAC-Objekte derselben
DomänemitdemVerbindungsobjektverknüpftwerden.MitderDell-ErweiterungkönnenkeineGruppenoderiDRAC-ObjekteausanderenDomänenals
ProduktmitglieddesVerbindungsobjekteshinzugefügtwerden.
Benutzer,BenutzergruppenoderverschachtelteBenutzergruppenjeglicherDomänekönnendemVerbindungsobjekthinzugefügtwerden.Lösungenmit
erweitertemSchemaunterstützenjedeArtvonBenutzergruppesowiejedeBenutzergruppe,dieübermehrereDomänenverschachteltundvonMicrosoft
Active Directory zugelassen ist.
Unter Verwendung des erweiterten Schemas Berechtigungen ansammeln