Documentation sur Oracle Cloud Infrastructure

Définition d'autorisations pour synchroniser les utilisateurs, les groupes et l'appartenance à des groupes

Définissez des autorisations pour votre compte de service de pont AD afin de pouvoir synchroniser les utilisateurs, les groupes ou les unités organisationnelles entre Microsoft Active Directory et IAM.

  1. Utilisez vos données d'identification d'administrateur de domaine pour vous connecter à l'ordinateur qui contient votre serveur Microsoft Active Directory.
  2. Ouvrez une fenêtre de commande.
  3. Définissez les autorisations Lue générique pour les utilisateurs, les groupes et les unités organisationnelles du domaine Microsoft Active Directory que vous souhaitez importer dans les domaines d'identité : 
    dsacls <AD_Domain_Name> /I:T /g "<AD_Domain_Name>\<User/Group_Name>:GR"
    Note

    <AD_Domain_Name> est le nom du domaine que vous associez à IAM et <User/Group_Name> est le nom d'utilisateur de votre compte d'administrateur de domaine.

    /I:T : Ce paramètre spécifie les objets auxquels vous appliquez les autorisations. T est la valeur par défaut. Elle signifie que les autorisations pouvant être héritées peuvent être propagées vers cet objet et les objets enfants d'un niveau vers le bas seulement.

    /g : Ce paramètre accorde les autorisations que vous spécifiez à l'utilisateur ou au groupe. Par exemple, /g {<user> | <group>}:<permissions>.

    <permissions> : Ce paramètre spécifie le type d'autorisation que vous appliquez.
    • GR : Lecture générique
    • GW : Écriture générique
    • LC : Créer la liste des objets enfants de l'objet
    • RP : Propriété de lecture
  4. Définissez les propriétés de liste des enfants et de lecture pour le conteneur cn=Deleted Objects avec héritage. Ce conteneur se trouve également dans le domaine Microsoft Active Directory que vous associez au service IAM.
    dsacls "cn=deleted objects,<AD_Domain_Name>" /takeOwnership
    dsacls "cn=deleted objects,<AD_Domain_Name>" /I:T /g "<AD_Domain_Name>\<User/Group_Name>:LCRP"
    Note

    Si vous ne disposez pas de ces autorisations, le pont AD ne pourra pas synchroniser les utilisateurs, groupes ou unités organisationnelles supprimés entre Microsoft Active Directory et IAM. Cela entraîne des incohérences entre Microsoft Active Directory et IAM.