Mit Active Directory verbinden

Active Directory ist der Verzeichnisserver von Microsoft, der eine LDAP-kompatible Datenbank mit Objekten wie Benutzern, Gruppen und Computern bereitstellt. Verwenden Sie den Active-Directory-Datenkonnektor, um die Active-Directory-Daten Ihres Unternehmens zu importieren.

Hinweis

Sie können diesen Konnektor ohne Analytics nicht verwenden. Sie können einen DSN für den Konnektortreiber mit dem ODBC-Datenquellenadministrator von Windows konfigurieren. Sie müssen die DSN-Verbindung aber innerhalb von Analytics und nicht aus dem Dialogfeld des Konnektors zur Windows-DSN-Konfiguration heraus testen.

Vorbereitungen

Für eine Verbindung mit Active Directory müssen Sie die folgenden Informationen einholen:

der Domänenname oder die IP-Adresse des Active-Directory-Servers
korrekter Verbindungsport
das sich verbindende Benutzerkonto, einschließlich Distinguished Name des Benutzers und Kennwort

Hilfe für die Zusammenstellung der Verbindungsvoraussetzungen erhalten Sie von dem Active Directory-Administrator Ihrer Organisation. Falls Ihr Administrator Ihnen nicht weiterhelfen kann, sollten Sie oder Ihr Administrator den Active Directory-Support kontaktieren.

Active-Directory-Verbindungen erstellen

Wählen Sie aus dem Analytics-Hauptmenü Importieren > Datenbank und Anwendung.
Auf der Registerkarte Neue Verbindungen im Abschnitt ACL-Konnektoren wählen Sie Active Directory.
Tipp
Sie können die Liste verfügbarer Konnektoren filtern, indem Sie in das Feld Verbindungen filtern eine Suchzeichenfolge eingeben. Die Konnektoren sind alphabetisch aufgelistet.
Im Bereich Datenverbindungseinstellungen rufen Sie die Verbindungseinstellungen auf und klicken unten innerhalb des Bereichs auf Speichern und verbinden.
Sie können den standardmäßigen Verbindungsnamen akzeptieren oder einen neuen Namen eingeben.

Die Verbindung für Active Directory wird in der Registerkarte Bestehende Verbindungen gespeichert. In Zukunft können Sie sich über die gespeicherte Verbindung erneut mit Active Directory verbinden.

Sobald die Verbindung hergestellt ist, wird das Fenster „Datenzugriff“ im Stagingbereich geöffnet und Sie können den Datenimport beginnen. Hilfe für den Datenimport aus Active Directory finden Sie unter Mit dem Fenster „Datenzugriff“ arbeiten.

Verbindungseinstellungen

Grundlegende Einstellungen

Einstellung	Beschreibung	Beispiel
Benutzer	Der Distinguished Name eines Benutzers. Zusammen mit dem Kennwort wird dieses Feld für die Authentifizierung mit dem Active-Directory-Server verwendet.	MYDOMAIN\test
Kennwort	Das Kennwort für den Distinguished Name des angegebenen Benutzers. Zusammen mit dem Benutzer wird dieses Feld für die Authentifizierung mit dem Active-Directory-Server verwendet. Hinweis Falls Ihr Active-Directory-Server anonyme Verbindungen gestattet, ist es möglich, dass Sie sich ohne ein Kennwort verbinden können. Je nach der Sicherheitskonfiguration Ihres Servers ist es möglich, dass verfügbare Tabellen bei anonymen Verbindungen aufgelistet werden. Unter Umständen sind solche Verbindungen aber nicht in der Lage, Daten aus einigen oder allen aufgelisteten Tabellen auszuwählen. Weitere Informationen über Ihre Sicherheitskonfiguration von Active Directory erhalten Sie beim Administrator Ihres Unternehmens.
Server	Der Domänenname oder die IP des Active-Directory-Servers. Hierin muss der LDAP:\\-Anteil nicht enthalten sein, sondern lediglich der Domänenname oder die IP des Servers.	10.120.1.110
Port	Der Port, den der Active-Directory-Server verwendet. Der Standardwert ist 389. Zusammen mit dem Server wird diese Eigenschaft für die Festlegung des Active-Directory-Servers verwendet.	389
Basis-DN	Der Basisteil des Distinguished Name, der verwendet wird, um die Ergebnisse auf bestimmte Unterstrukturen zu begrenzen. Die Angabe eines Basis-DN kann die Performance erheblich verbessern, wenn Einträge großer Server zurückgegeben werden, indem die Anzahl der zu untersuchenden Einträge begrenzt wird.	DC=meineVerbindung;DC=com
LDAP-Version	Die LDAP-Version, die für die Verbindung mit dem Server und die Kommunikation verwendet wird. Gültige Optionen sind „2“ und „3“ für die LDAP-Versionen 2 und 3.	2
Authentifizierungsmechanismus	Der Authentifizierungsmechanismus, der für die Verbindung mit dem Active-Directory-Server verwendet werden soll: SIMPLE (Standard) Es wird eine standardmäßige Nur-Text-Authentifizierung zur Anmeldung am Server verwendet. DIGESTMD5 Es wird die sichere DIGEST-MD5-Authentifizierung verwendet. NEGOTIATE Eine NTLM-/Aushandlungsauthentifizierung wird verwendet.	SIMPLE
Bereich	Ob die Suche beschränkt werden soll auf: WHOLESUBTREE die gesamte Unterstruktur (Basis-DN und alle seine Nachfolger) SINGLELEVEL eine einzelne Ebene (Basis-DN und die direkten Nachfolger) BASEOBJECT das Basisobjekt (nur Basis-DN) Tipp Durch eine Beschränkung des Bereichs wird die Suchperformance stark verbessert.	BASEOBJECT

Erweiterte Einstellungen

Einstellung	Beschreibung	Beispiel
Standard-DC nutzen	Wird verwendet, um eine Verbindung mit dem standardmäßigen Domänencontroller aufzunehmen, die mit den aktuellen Benutzeranmeldeinformationen authentifiziert wird.	falsch
Datumzeit auf GMT konvertieren	Konvertiert während des Importierens Datumzeit-Felder auf die GMT-Zeitzone. Falls der Wert auf „falsch“ eingestellt ist, werden Datumzeit-Werte auf die Zeitzone des Betriebssystems für den Computer konvertiert, auf dem Analytics ausgeführt wird.	wahr
Grenze der Schlüsselgröße	Die maximale Länge einer Primärschlüsselspalte. Wenn die Größe auf „0“ eingestellt wird, wird die ursprüngliche Schlüssellänge wiederhergestellt. Durch diese Eigenschaft überschreibt der Konnektor die gemeldete Länge aller Primärschlüsselspalten.	255
Long Varchar zuordnen	Kontrolliert, ob eine Spalte als SQL_LONGVARCHAR zurückgegeben wird. Verwenden Sie diese Einstellung, um alle Spalten über einer bestimmten Größe so zuzuordnen, dass sie als SQL_LONGVARCHAR statt SQL_VARCHAR gemeldet werden.	-1
WVarchar zuordnen	Kontrolliert, ob Zeichenfolgentypen als SQL_WVARCHAR statt SQL_VARCHAR zugeordnet werden. Standardmäßig ist diese Option aktiviert. Zeichenfolgenspalten müssen SQL_WVARCHAR zugeordnet sein, um unterschiedliche internationale Zeichensätze zu unterstützen. „WVarchar zuordnen“ ist daher standardmäßig auf „wahr“ eingestellt. Sie können es auf „falsch“ setzen, wenn Sie stattdessen SQL_VARCHAR verwenden möchten.	wahr
Pseudospalten	Gibt an, ob Pseudospalten der Tabelle ebenfalls als Spalten hinzugefügt werden sollen. Diese Einstellung ist besonders im Entity Framework hilfreich, das Ihnen nicht ermöglicht, einen Wert für eine Pseudospalte anzugeben, solange sie keine Tabellenspalte ist. Der Wert dieser Verbindungseinstellung hat das Format „Tabelle1=Spalte1, Tabelle1=Spalte2, Tabelle2=Spalte3“. Sie können das „*“-Zeichen verwenden, um alle Tabellen und alle Spalten einzuschließen.	MeineTabelle=*
Bezeichner in Großbuchstaben	Alle Bezeichner, einschließlich Tabellen- und Spaltennamen, in Großbuchstaben melden.	falsch
SSL-Serverzertifikat	Das durch den Server bei einer Verbindung mit TLS/SSL zu akzeptierende Zertifikat. Sie können die folgenden Einstellungen festlegen: vollständiges PEM-Zertifikat Pfad zu einer lokalen Datei, die das Zertifikat enthält der öffentliche Schlüssel der MD5-Fingerabdruck (Hexadezimalwerte können auch entweder durch Leerzeichen oder Doppelpunkte getrennt werden) der SHA1-Fingerabdruck (Hexadezimalwerte können auch entweder durch Leerzeichen oder Doppelpunkte getrennt werden) Wenn Sie eine TLS/SSL-Verbindung verwenden, kann diese Eigenschaft verwendet werden, um das TLS/SSL-Zertifikat festzulegen, das durch den Server akzeptiert wird. Andere Zertifikate, denen der Computer nicht vertraut, werden abgelehnt.	C:\cert.cer
Erweitertes SQL unterstützen	Erweitert die SQL-Funktionen über den direkt durch die API unterstützten Funktionsumfang hinaus, indem die clientseitige speicherinterne Verarbeitung ermöglicht wird: wahr Der Konnektor lagert die Verarbeitung der SELECT-Anweisung soweit wie möglich auf Active Directory aus und verarbeitet die restliche Abfrage im Arbeitsspeicher. Auf diese Weise kann der Treiber nicht unterstützte Prädikate, Zusammenführungen und Aggregationen ausführen. falsch Der Konnektor beschränkt die SQL-Ausführung auf die unterstützten Funktionen der Active-Directory-API. Hinweis Die Einstellung muss „falsch“ lauten, wenn eine Filterung mit der WHERE-Klausel unterstützt werden soll. Ausführung von Prädikaten Der Konnektor stellt fest, welche Klauseln durch die Datenquelle unterstützt werden, und leitet sie dann auf die Quelle weiter, um die kleinste Obermenge an Zeilen zu erhalten, welche die Abfrage erfüllt. Die restlichen Zeilen filtert er daraufhin lokal. Die Filteroperation wird gestreamt. Dies ermöglicht dem Treiber selbst bei sehr großen Datasets eine effektive Filterung. Ausführung von Zusammenführungen Der Konnektor nutzt unterschiedliche Techniken, um Zusammenführungen im Arbeitsspeicher durchzuführen. Der Treiber wägt die Auslastung des Arbeitsspeichers gegen die Notwendigkeit ab, dieselbe Tabelle mehrmals lesen zu müssen. Ausführung von Aggregaten Der Konnektor ruft alle notwendigen Zeilen ab, um die Aggregation im Speicher zu verarbeiten.	falsch

Zurückgegebene Zeilen filtern

Der Active-Directory-Konnektor verwendet eine SQL-Filterungssyntax, die sich eng mit der LDAP-Suchsyntax deckt. Einige Felder enthalten Daten mit Trennzeichen, die mehrere Objektattribute darstellen. Ihre WHERE-Klausel muss jeden Wert in diesen Feldern mit Trennzeichen so berücksichtigen, als ob es sich um unterschiedliche Werte und nicht um eine einzelne Zeichenfolge handeln würde.

Weitere Informationen über LDAP-Suchfelder finden Sie unter MSDN-Suchfiltersyntax.

Benutzer nach Objektkategorie und Objektklasse filtern

Szenario

Sie arbeiten mit der Tabelle Benutzer und möchten Datensätze importieren, bei denen die Objektklasse die folgenden Attribute aufweist:

Person
Benutzer

Sie möchten auch eine Beschränkung auf Datensätze vornehmen, deren Objektkategorie das Attribut „Computer“ und nicht „Person“ aufweist.

Mit der Tabelle verbinden

Zuerst verbinden Sie sich mit dem Active-Directory-Server und wählen die Tabelle Benutzer aus (Teilmenge der angezeigten Felder).

Datensätze filtern

Um die Datensätze auf importierende Datensätze zu beschränken, wenden Sie einen Filter an, der jeden durch Trennzeichen versehenen Wert als ein eigenständiges Feld behandelt.

Dann nutzen Sie den SQL-Modus, um die WHERE-Klausel des Filters zu überprüfen:

WHERE
  (
    "Benutzer"."Objektklasse" = N'Person' AND
    "Benutzer"."Objektklasse" = N'Benutzer' AND
    "Benutzer"."Objektkategorie" = N'Computer'
  )

Ergebnisse filtern

Sobald der Filter angewendet ist, schließt die Tabelle Datensätze ein, die der WHERE-Klausel entsprechen. Importieren Sie dann die Tabelle.

Active-Directory-Tabellen zusammenführen

LDAP-kompatible Datenbanken, wie beispielsweise Active Directory, nutzen ein Datenmodell, aufgrund dessen SQL-Zusammenführungen nicht empfehlenswert sind. Zusammenführungen können unerwartete Ergebnisse liefern.

Falls Sie ein oder mehrere Tabellen aus einer Active-Directory-Datenquelle zusammenführen müssen, können Sie die Tabellen mit dem Fenster „Datenzugriff“ importieren und sie dann in Analytics zusammenführen. Verwenden Sie Filter, um die Datensatzanzahl zu begrenzen und die Effizienz zu steigern.