Active Directory

Die Optionen im Konfigurationsdialog Active Directory (erreichbar über Benutzerkonten » Benutzerkonten-Optionen » Active Directory) steuern die Überwachung des Active Directorys durch MDaemon. MDaemon kann Benutzerkonten automatisch anlegen, aktualisieren, löschen und sperren, wenn die zugehörigen Benutzerkonten im Active Directory geändert werden. Darüber hinaus kann MDaemon alle öffentlichen Kontakte mit den jeweils aktuellen im Active Directory gespeicherten Informationen versorgen. Oft genutzte Datenfelder wie Postanschrift, Telefon-Nummern, geschäftliche Kontaktdaten und weitere Datenfelder der Benutzerkonten können in dieser Weise in die öffentlichen Kontakte übertragen und nach jeder Änderung im Active Directory auch in den öffentlichen Kontakten aktualisiert werden.

Anlegen von Benutzerkonten

Im Rahmen der Überwachung des Active Directorys sucht MDaemon in festgelegten Abständen nach Änderungen. Wird ein neues Benutzerkonto im Active Directory gefunden, so legt MDaemon automatisch ein neues Benutzerkonto an. Dieses neue MDaemon-Benutzerkonto enthält Vor- und Nachnamen, Anmeldenamen, Postfachnamen und Beschreibung des Benutzerkontos sowie den Status aktiv oder gesperrt aus dem Active Directory.

MDaemon fügt neue Benutzerkonten, die aufgrund von Änderungen im Active Directory erstellt werden, grundsätzlich der Standard-Domäne hinzu. Wahlweise können diese Benutzerkonten stattdessen der Domäne zugewiesen werden, die im Active-Directory-Attribut "UserPrincipalName" (Benutzerprinzipalname) des Benutzerkontos eingetragen ist. Bei Nutzung dieser Option erstellt MDaemon automatisch eine neue Domäne, falls ein Benutzerkonto einer Domäne zugewiesen werden soll, die in MDaemon noch nicht besteht.

Löschen von Benutzerkonten

Wird ein Benutzerkonto aus dem Active Directory gelöscht, so kann MDaemon wahlweise die folgenden Aktionen ausführen: keine Aktion, Löschen des zugehörigen MDaemon-Kontos, Sperren des zugehörigen MDaemon-Kontos, oder Einfrieren des zugehörigen MDaemon-Kontos (in diesem Fall kann das Benutzerkonto Nachrichten noch empfangen, der Benutzer kann sie aber nicht abrufen oder sonst auf das Benutzerkonto zugreifen).

Aktualisieren von Benutzerkonten

Erkennt MDaemon Änderungen an Benutzerkonten im Active Directory, so werden die geänderten Daten automatisch in die zugehörigen MDaemon-Benutzerkonten übernommen.

Abgleich der MDaemon-Benutzerdatenbank mit dem Active Directory

Mithilfe der Option "Vollständigen AD-Abgleich jetzt durchführen" wird MDaemon veranlasst, das Active Directory vollständig zu durchsuchen und die MDaemon-Benutzerkonten an die Benutzerkonten des Active Directorys anzupassen. Werden dabei Active-Directory-Benutzerkonten gefunden, die zu bestehenden MDaemon-Benutzerkonten passen, so werden die MDaemon-Konten entsprechend verknüpft. Änderungen im Active Directory, die nach einem solchen Abgleich vorgenommen werden, übernimmt MDaemon automatisch in die MDaemon-Benutzerdatenbank.

Echtheitsbestätigung über das Active Directory

Benutzerkonten, die durch Abgleich mit dem Active Directory erstellt werden, sind per Voreinstellung auf die Echtheitsbestätigung über das Active Directory (AD) konfiguriert. Dabei speichert MDaemon die Kennwörter für die Benutzerkonten nicht in der eigenen Benutzerdatenbank: Stattdessen nutzt der Inhaber des MDaemon-Benutzerkontos die Anmeldedaten seines Windows-Benutzerkontos. MDaemon leitet diese zur Echtheitsbestätigung an Windows weiter.

Die AD-Echtheitsbestätigung funktioniert nur, wenn in dem entsprechenden Feld im Abschnitt Überwachung der Name einer Windows-Domäne eingetragen ist. MDaemon lässt die Echtheitsbestätigung anhand der dort eingetragenen Windows-Domäne durchführen. In den meisten Fällen erkennt MDaemon die Windows-Domäne automatisch und trägt sie in das Feld ein. Falls gewünscht, kann aber auch eine andere Domäne von Hand eingetragen werden. Soll die Echtheitsbestätigung nicht nur auf eine einzelne Windows-Domäne beschränkt sein sondern alle erreichbaren Windows-Domänen umfassen, muss der Eintrag "NT_ANY" gewählt werden. Bleibt dieses Feld leer, so konfiguriert MDaemon neue Benutzerkonten nicht für die dynamische Echtheitsbestätigung. MDaemon erzeugt stattdessen ein Zufallskennwort, das der Systemverwalter von Hand bearbeiten muss, bevor der Benutzer auf das E-Mail-Konto zugreifen kann.

Durchgehende Überwachung

Das Active Directory wird auch dann überwacht, wenn MDaemon gerade nicht ausgeführt wird. Alle Änderungen am Active Directory werden verfolgt und durch MDaemon nach dem folgenden Programmstart verarbeitet.

Datensicherheit für das Active Directory

Die Funktionen zur Überwachung des Active Directorys, die MDaemon bereit stellt, ändern oder beeinflussen die Schema-Dateien des Active Directorys nicht. MDaemon überwacht das Active Directory nur lesend und verändert darin keine Daten.

Vorlage für das Active Directory

MDaemon nutzt für alle Änderungen an Benutzerkonten, die sich aus der Überwachung des Active Directorys ergeben, eine Vorlage ("\app\ActiveDS.dat"), mit deren Hilfe die Namen bestimmter Active-Directory-Attribute den Namen der Felder in den MDaemon-Benutzerkonten zugeordnet werden. MDaemon verknüpft beispielsweise per Voreinstellung das Active-Directory-Attribut "cn" mit dem MDaemon-Feld "FullName". Diese Verknüpfungen sind aber nicht fest vorgegeben; sie können durch Bearbeiten der Vorlage mit einem Texteditor einfach geändert werden. So kann etwa die genannte Voreinstellung "FullName=%cn%" durch "FullName=%givenName% %sn%" ersetzt werden. Nähere Informationen hierzu finden Sie in der Datei ActiveDS.dat.

Aktualisierung der öffentlichen Adressbücher

Mithilfe der Funktionen zur Überwachung des Active Directorys kann das Active Directory in bestimmten Intervallen abgefragt werden; die Ergebnisse dieser Abfrage können dann dazu benutzt werden, alle öffentlichen Kontakte in MDaemon mit den jeweils neuesten Daten zu aktualisieren. Oft genutzte Datenfelder wie Postanschrift, Telefon-Nummern, geschäftliche Kontaktdaten und weitere Datenfelder der Benutzerkonten können in dieser Weise in die öffentlichen Kontakte übertragen und nach jeder Änderung im Active Directory auch in den öffentlichen Kontakten aktualisiert werden. Um dieses Leistungsmerkmal zu nutzen, aktivieren Sie die Option "Active Directory überwachen und öffentliche Adressbücher aktualisieren" im Konfigurationsdialog Active Directory » Überwachung.

Dieses Leistungsmerkmal kann zahlreiche Datenfelder der Kontakte überwachen. Eine vollständige Übersicht der Datenfelder in öffentlichen Kontakten, die den Attributen im Active Directory zugeordnet werden können, ist in der Datei ActiveDS.dat enthalten. In diese Datei wurden mehrere neue Vorlagen für die Zuordnung von Attributen im Active Directory aufgenommen, mit deren Hilfe die Attribute genutzt werden können, um bestimmte Datenfelder in den Kontaktinformationen zu füllen. So stehen etwa %fullName% für das Feld Vor- und Nachname, %streetAddress% für die Postanschrift und andere zur Verfügung.

Damit MDaemon feststellen kann, welcher Eintrag in die Kontakte anhand der Attribute eines Active-Directory-Benutzers aktualisiert werden soll, muss die E-Mail-Adresse des Kontakts mit der im Active Directory hinterlegten Adresse übereinstimmen, und MDaemon muss diese Übereinstimmung feststellen können. Falls MDaemon keine Übereinstimmung feststellen kann, können auch keine Datenfelder aktualisiert werden. Per Voreinstellung nutzt MDaemon die Daten aus dem Attribut, das in der Datei ActiveDS.dat der Vorlage für das Postfach zugeordnet ist. MDaemon fügt an diese Daten den Namen der Standard-Domäne an; die Erstellung der Adresse folgt demselben Schema wie bei der Erstellung und dem Löschen von MDaemon-Benutzerkonten auf Grundlage der Daten aus dem Active Directory. Falls dies nicht gewünscht ist, kann auch die Vorlage "abMappingEmail" in der Datei ActiveDS.dat durch Entfernen der Kommentarzeichen aktiviert werden; diese Vorlage kann jedem beliebigen Attribut im Active Directory zugeordnet werden, etwa %mail%. In allen Fällen muss aber sichergestellt sein, dass MDaemon aus dem gewünschten Attribut eine E-Mail-Adresse entnehmen kann, die zu einem gültigen lokalen Benutzerkonto gehört.

Dieses Leistungsmerkmal erstellt Kontakte automatisch, falls sie noch nicht bestehen, und aktualisiert die bereits bestehenden Kontakte. Änderungen, die außerhalb des Active Directory direkt an den Benutzerkonten vorgenommen werden, gehen bei diesem Vorgang verloren. Datenfelder der Kontakte, die keinem Attribut zugeordnet sind, bleiben unverändert; auch bestehende Daten in solchen Feldern werden nicht verändert und gehen nicht verloren. Für MDaemon-Benutzerkonten, die als privat gekennzeichnet sind, werden die Einträge in den Kontakten weder automatisch erstellt noch aktualisiert.

Siehe auch: