Am 14. September 2017 haben wir eine überarbeitete Fassung unserer Datenschutzrichtlinie veröffentlicht. Wenn Sie video2brain.com weiterhin nutzen, erklären Sie sich mit diesem überarbeiteten Dokument einverstanden. Bitte lesen Sie es deshalb sorgfältig durch.

MCSA: Office 365 – 70-346 (Teil 4) – Identitätsverwaltung mit Azure Active Directory Synchronization

UPN-Suffix in Active Directory anpassen

LinkedIn Learning kostenlos und unverbindlich testen!

Jetzt testen Alle Abonnements anzeigen
Machen Sie sich anhand dieses Videos damit vertraut, mit welchen Werkzeugen Sie das UPN-Suffix (User Prinzipal Name bzw. Benutzerprinzipalname) ändern können, damit die Benutzerkonten anschließend mit Azure Active Directory synchronisiert werden können.
10:01

Transkript

Wie Sie UPN-Suffix für Konten im Acitve Directory anpassen können, zeige ich Ihnen in diesem Video. Die erste Möglichkeit besteht darin, dass wir Active Directory Benutzer und Computer einsetzen, um das DNS-Suffix zu ändern, damit das UPN, das UPN setzt sich zusammen aus dem Benutzeranmeldenamen und aus der Domäne, entsprechend vorbereitet ist für die Synchronisation in Azure Acitve Directory. Sie sehen hier, ich habe die Möglichkeit diese UPN-Suffix zu ändern auf "@viedeotrainer.ch". "Übernehmen" und "OK". Für ein Konto habe ich erfolgreich das UPN geändert. Ganz ehrlich, ist dass für hundert Konten die ideale Lösung um den UPN zu ändern? Wahrscheinlich nicht. Wenn Sie drei, vier Konten haben, wie in meinem Fall hier in dieser Organisationseinheit, dann können Sie auch eine Mehrfachobjektänderung durchführen. Sie markieren das erste Konto mit Control-Taste gedrückt, dann das zweite Konto markieren, drei und vier, dann Rechtsklick, "Eigenschaften" und Sie sehen, ich habe die Möglichkeit eine Mehrfachobjektkonfiguration durchzuführen, ich wähle "Konto", ich kann hier die Markierung setzten "Benutzerprinzipalnamens-Suffix" und ebenfalls wieder "@videotrainer.ch" auswählen. Das würde so funktionieren. Auch dies ist nicht die tolle Lösung, wenn Sie hunderte von Konten entsprechend bearbeiten müssen. Zuerst stellt sich doch aber noch die Frage. Ja, welche Konten sind den überhaupt vorbereitet und welche nicht? Oder welche Konten muss ich noch anpassen? Wie kann ich mir da eine Übersicht erstellen, damit ich die entsprechenden Informationen sehr einfach bekomme. Dazu gibt es verschiedene Hilfsmittel. Das erste Hilfsmittel, dass ich Ihnen zeigen möchte, das ist IdFix. Wir können IdFix herunterladen von der Webseite von Microsoft, dazu navigieren wir zu der favorisierten Suchmaschine und ich setze ein "idfix" und der erste Link bringt uns bereits ans Ziel. Sie sehen hier, "Download" "IdFix DirSync Error Remediation Tool". Das habe ich bereits gemacht, dass ist eine Zip-Datei. Diese Zip-Datei habe ich extrahiert und da haben wir den Ordner IdFix und die entsprechende "exe". Doppelklick "Ausführen". Dann noch das "Privacy Statement" akzeptieren mit "OK" und nun ist das Tool gestartet. Es ist leer. Warum? Kein Problem. Die Abfrage ins Active Directory, in das lokale Active Directory, wurde noch nicht durchgeführt. Mit der Schaltfläche "Query", können wir unser lokales Active Directory abfragen. Und jetzt erhalten wir eine Liste, mit Konten welche zum Beispiel nicht bereit sind für die Synchronisation, wir sehen hier, wir haben einen "topleveldomain" "ERROR", einen Fehler. Diese Domäne ist nicht routbar im Internet "corp.pri". Das ist eine interne private Domäne. Ich muss die Änderung durchführen und Sie sehen hier, ich habe die Möglichkeit ein Update durchzuführen, ich kann das direkt hier umsetzen, ich muss diese Domäne ersetzen, durch meine öffentliche Domäne, welche im Internet erreichbar ist und dass ist "@videotrainer.ch". Ich wähle die Aktion aus, ich wähle "EDIT". Ich habe hier die Schaltfläche "Apply", dann bestätige ich diese Änderung, nun kann ich wiederum ein "Query" durchführen und Sie haben gesehen, das oberste Konto ist weg, weil die Änderung durchgeführt wurde. IdFix ist nicht gedacht, um auch in diesem Fall hunderte von Konten zu bearbeiten. Es ist dazu gedacht, sich eine erste Information zu beschaffen, welche Konten sind nicht bereit für die Synchronisation ins Azure Active Directory. Ein weiteres Tool, dass ich Ihnen vorstellen möchte, dass ist ADModify. ADModify können Sie ebenfalls direkt vom Internet herunterladen. Navigieren Sie wiederum zu Ihrer favorisierten Suchmaschine, geben Sie ein "admodify" und dann bereits der erste Link führt Sie zum Ziel. Da haben Sie die Möglichkeit, dieses Tool herunter zu laden. Ist ebenfalls eine Zip-Datei. Ich habe dass bereits vorgängig gemacht, die Zip-Datei heruntergeladen, extrahiert, und hier steht dieses Tool nun zur Verfügung. Doppelklick. Dann auch hier die Sicherheitswarnung akzeptieren, "Ausführen" auswählen. Und jetzt habe ich die Möglichkeit, über die Schaltfläche "Modify Attributes", die entsprechenden Werte zu ändern. Klicke also auf "Modify Attributes" und nun wähle ich zuerst meine Domäne aus, "corp.pri", beziehungsweise Sie sehen hier, der vollständige Name "DC=corp,DC=pri", dann den Domänen-Controller, in meinem Fall "dcsrv01.corp.pri", dass ist absolut okay und ich klicke auf diese Schaltfläche und wir sehen hier, die Domäne wird aufgelistet. Nun kann ich die entsprechende Organisationseinheit auswählen, bei denen ich die entsprechende Konfiguration anpassen möchte. In der Organisationseinheit Sekretariat, sind Konten vorhanden die ich entsprechend anpassend will. Markiere also die Organisationseinheit "Sekretariat" und ich wähle hier die Schaltfläche "Add to List" und Sie sehen hier, die Konten welche in der Organisationseinheit Sekretariat konfiguriert sind. Nun kann ich mit der Schaltfläche "Select All", sämtliche Objekte markieren und ich wähle "Next". Und nun sehen Sie, das Tool wie es nun bereit steht um die Modifikation durchzuführen. Vielleicht kommt Ihnen diese Oberfläche bekannt vor. Sieht sehr ähnlich aus, wie das Eigenschaftsfenster in Active Directory, wenn Sie auf einem bestimmten Konto eine Änderung durchführen. Ich wähle hier das Register "Account" und nun habe ich die Möglichkeit hier, über diese Markierung das UPN zu ändern. Ich wähle "Legacy Account" und ich kann hier, im Drop Down-Menü, die entsprechende Domäne auswählen. Und ich wähle "Go". Die entsprechenden Änderungen wurden gemacht. Es wurde ein Konto aktualisiert und zwei Fehler. Warum zwei Fehler? In dieser Organisationseinheit, sind noch zwei Sicherheitsgruppen konfiguriert, darum diese zwei wurden nicht angepasst, aber ein Konto wurde erfolgreich angepasst. Und Sie sehen hier, ist die Information noch dass, diese Konfiguration, diese Änderung in dieser XML-Datei abgelegt wurde. Zeige Ihnen gleich später warum diese XML-Datei so interessant ist. Ich wähle "OK". Und wir haben die Änderung durchgeführt. Ich starte nochmals ADModify. Wähle wiederum "Ausführen". Und ich habe die Schaltfläche zuerst "Modify Attributes" ausgewählt, um die Konfiguration durchzuführen. Und jetzt kommt das Tolle an diesem Tool. Sie sehen hier, "Undo Changes". Haben Sie eine Konfiguration gemacht, welche nicht korrekt war, vielleicht haben Sie, in der falschen Organisationseinheit die Konten entsprechend modifiziert, dann können Sie über diese Schaltfläche, Ihre Konfiguration rückgängig machen. Weil wie eben vorher bereits erwähnt, wurde diese Änderung, die ich eben durchgeführt habe, in dieser XML-Datei festgelegt. Dass bedeutet, wir haben eine Art Backup-Funktion. Und genau darum ist dieses Werkzeug, ADModify so ein tolles Instrument, um die entsprechende Anpassung durchzuführen. Es gibt noch eine weitere Möglichkeit, um das UPN zu ändern, und das ist mit der PowerShell. Da hab ich ebenfalls ein "command-let" vorbereitet, und Sie sehen hier, das "commant-let" "GET-ADUser", die entsprechenden Informationen auslesen und dann in einer Schleife die entsprechende UPN-Änderung durchführen. Das ist ein PowerShell Aufbau, denn ich aus dem Technikartikel direkt herauskopiert habe. Dieses Script ändert sämtliche User Principal Name, von der internen Domäne auf die externe Domäne. Ich rate Ihnen da, vorsichtig umzugehen mit diesem Script, weil vielleicht möchten Sie ja nicht von allen Active Directory Objekten das User Principal ändern. Also gehen Sie da vorsichtig um mit diesem Script. Ich empfehle Ihnen, ändern Sie Ihre Active Directory Umgebung mit ADModify so können sie explizit auswählen, welche Organisationseinheit soll entsprechend angepasst werden. Ein kleines Beispiel. Ich habe zum Beispiel "Managed Service Accounts" und mit dem PowerShell-Script würde ich sämtliche Konten in diesem Konto auch anpassen. Dass möchte nicht. Darum wähle ich ADModify, damit ich wirklich explizit, nur die Organisationseinheiten entsprechend anpassen kann, die auch tatsächlich dann ins Azure Active Directory synchronisiert werden müssen. In diesem Video habe ich Ihnen gezeigt, mit welchen Werkzeugen Sie das UPN-Suffix ändern können, damit die Konten anschließend bereit sind, für die Synchronisation ins Azure Active Directory.

MCSA: Office 365 – 70-346 (Teil 4) – Identitätsverwaltung mit Azure Active Directory Synchronization

Bereiten Sie sich mit diesem und fünf weiteren Trainings auf die Microsoft Zertifizierungsprüfung 70-346 vor und erlernen Sie umfassende Kenntnisse zur Verwaltung von Office 365.

1 Std. 32 min (17 Videos)
Derzeit sind keine Feedbacks vorhanden...
 
Software:
Exklusiv für Abo-Kunden
Erscheinungsdatum:07.12.2016

Dieser Online-Kurs ist als Download und als Streaming-Video verfügbar. Die gute Nachricht: Sie müssen sich nicht entscheiden - sobald Sie das Training erwerben, erhalten Sie Zugang zu beiden Optionen!

Der Download ermöglicht Ihnen die Offline-Nutzung des Trainings und bietet die Vorteile einer benutzerfreundlichen Abspielumgebung. Wenn Sie an verschiedenen Computern arbeiten, oder nicht den ganzen Kurs auf einmal herunterladen möchten, loggen Sie sich auf dieser Seite ein, um alle Videos des Trainings als Streaming-Video anzusehen.

Wir hoffen, dass Sie viel Freude und Erfolg mit diesem Video-Training haben werden. Falls Sie irgendwelche Fragen haben, zögern Sie nicht uns zu kontaktieren!