Documentation Oracle Cloud Infrastructure

Définition de droits d'accès pour synchroniser les utilisateurs, les groupes et l'appartenance aux groupes

Définissez des droits d'accès pour votre compte de service de pont AD afin de pouvoir synchroniser les utilisateurs, les groupes ou les unités organisationnelles entre Microsoft Active Directory et IAM.

  1. Utilisez vos informations d'identification d'administrateur de domaine pour se connecter à l'ordinateur qui contient votre serveur Microsoft Active Directory.
  2. Ouvrez une fenêtre de commande.
  3. Définissez les droits d'accès Lecture générique des utilisateurs, des groupes et des unités organisationnelles du domaine Microsoft Active Directory à importer dans les domaines d'identité : 
    dsacls <AD_Domain_Name> /I:T /g "<AD_Domain_Name>\<User/Group_Name>:GR"
    Remarque

    <AD_Domain_Name> est le nom du domaine que vous associez à IAM et <User/Group_Name> est le nom utilisateur de votre compte d'administrateur de domaine.

    /I:T : ce paramètre indique les objets auxquels vous appliquez les droits d'accès. T est la valeur par défaut, ce qui signifie que vous pouvez propager les droits d'accès héritables vers cet objet et les objets enfant d'un seul niveau inférieur.

    /g : ce paramètre octroie les droits d'accès que vous indiquez à l'utilisateur ou au groupe. Par exemple : /g {<user> | <group>}:<permissions>.

    <permissions> : ce paramètre indique le type de droit d'accès que vous appliquez.
    • GR : lecture générique
    • GW : écriture générique
    • LC : liste des objets enfant de l'objet
    • RP : propriété de lecture
  4. Définissez les propriétés Liste d'enfants et Lecture pour le conteneur cn=Deleted Objects avec héritage. Ce conteneur se trouve également dans le domaine Microsoft Active Directory que vous associez à IAM.
    dsacls "cn=deleted objects,<AD_Domain_Name>" /takeOwnership
    dsacls "cn=deleted objects,<AD_Domain_Name>" /I:T /g "<AD_Domain_Name>\<User/Group_Name>:LCRP"
    Remarque

    Si vous ne disposez pas de ces droits d'accès, le Pont AD ne peut pas synchroniser les unités organisationnelle, utilisateurs ou groupes supprimés entre Microsoft Active Directory et IAM. Cela entraîne des incohérences entre Microsoft Active Directory et IAM.