Der neue Active Directory Connector für Dropbox

Bestimmte Arten von Admins können die Mitglieder eines Dropbox Business-Teams über ein Active Directory verwalten. Mit dem Active Directory Connector für Dropbox werden alle am Active Directory vorgenommenen Änderungen automatisch mit Dropbox synchronisiert. 

Der AD-Connector übernimmt keine in der Verwaltungskonsole von Dropbox durchgeführten Änderungen in AD. Stattdessen werden Änderungen, die an einem verwalteten Nutzer in der Verwaltungskonsole vorgenommen wurden, überschrieben.

Wenden Sie sich an unsere Identitätsmanagementpartner, um zusätzliche Unterstützung bei der Einrichtung des AD-Connector für Ihr Dropbox Business-Konto zu erhalten.

Abschnitte in diesem Artikel:

1. Schritt: Machen Sie sich mit den Best Practices für den AD-Connector vertraut.

Erforderlich:

  • Alle Nutzer, die Sie aus Active Directory synchronisieren möchten, müssen in derselben AD-Domain aktiv sein
  • PowerShell 4.0 oder neuer
  • Windows Server 2008 oder neuer
  • Remote-Server-Verwaltungstools

Empfohlen:

  • Erstellen Sie eine einzige Gruppe mit der Bezeichnung „Dropbox“, die sämtliche Nutzer enthält, für die Sie Dropbox bereitstellen möchten. Sie können dieser Dropbox-Gruppe sowohl einzelne Nutzer als auch Gruppen hinzufügen.
  • Installieren Sie den AD-Connector auf einem Server mit Lesezugriff. Der AD-Connector synchronisiert nur Änderungen, die in AD vorgenommen wurden.
  • Bei einem Upgrade von einer früheren Version des AD-Connectors: Normalerweise wird eine einfache Installation bei einem Upgrade von Version 2.0.1 auf Version 2.0.2 ordnungsgemäß aktualisiert. Wenn Sie jedoch ein Upgrade von einer Hauptversion auf eine andere durchführen (etwa von 1.0 auf 2.0), deinstallieren Sie die aktuelle Version, bevor Sie auf die neuere aktualisieren.
  • Für das aktuelle Release des AD-Connectors raten wir dazu, nicht mehr als 10.000 Nutzer aus Active Directory zu synchronisieren. Wenden Sie sich an unser Customer Success-Team, wenn Sie den AD-Connector für mehr als 10.000 Nutzer verwenden möchten.

Zurück zum Menü

2. Schritt: Laden Sie das MSI-Installationsprogramm für den AD-Connector herunter.

Installationsprogramm herunterladen

Zurück zum Menü

3. Schritt: Installieren Sie den AD-Connector.

  1. Führen Sie das Installationsprogramm Dropbox-AD-Connector.msi aus.
  2. Klicken Sie auf Weiter, um mit dem Installationsassistenten fortzufahren.
  3. Akzeptieren Sie die Nutzungsbedingungen, indem Sie das Kontrollkästchen markieren, und klicken Sie dann auf Weiter.
  4. Führen Sie die Installation im Standardpfad durch, indem Sie auf Weiter klicken.
  5. Klicken Sie auf Installieren. Wenn Sie in der Nutzerkontensteuerung dazu aufgefordert werden, wählen Sie Ja aus.
  6. Getting Started (Erste Schritte) ist standardmäßig markiert. Entfernen Sie die Markierung, wenn Sie diesen Leitfaden schon geöffnet haben.
  7. Wählen Sie Fertigstellen aus, um die Installation abzuschließen.

Zurück zum Menü

4. Schritt: Richten Sie das Tool zur AD-Connector-Konfiguration ein.

Die AD-Connector-Konfiguration erfolgt in fünf Schritten:

  1. Set-up.
  2. Synchronisieren der Active Directory-Nutzer.
  3. Synchronisieren der Active Directory-Gruppen.
  4. Protokoll.
  5. E-Mail-Benachrichtigungen.

Damit die Konfiguration einwandfrei abgeschlossen wird, führen Sie jeden einzelnen Schritt wie beschrieben durch:

Set-up

  1. Klicken Sie auf dem Desktop auf die Verknüpfung Configure AD Connector (AD-Connector konfigurieren).
  2. Klicken Sie auf OAuth2 Token abrufen, um eine Verbindung zu Ihrem Dropbox-Konto herzustellen.
    • Melden Sie sich gegebenenfalls als Admin bei Dropbox an
    • Genehmigen Sie die Berechtigungen der AD-Connector-App, falls erforderlich
  3. Kopieren Sie das Token.
  4. Fügen Sie das kopierte Token in das Feld OAuth 2 DfB Token ein.
  5. Wenn Sie Konfigurationstests durchführen möchten, wählen Sie das Kontrollkästchen Simulation Mode (Simulationsmodus) aus.
    • Hinweis: Im Simulationsmodus werden keine Änderungen an Ihrem Dropbox Business-Team vorgenommen.
AD-Connector-Konfiguration

Active Directory-Nutzersynchronisierung

  1. Wählen Sie die Active Directory-Gruppe aus, die Sie mit Ihrem Dropbox Business-Team synchronisieren möchten.
    • Erstellen Sie am besten eine Active Directory-Gruppe mit dem Namen „Dropbox“
  2. Vergewissern Sie sich, dass unter Email Attribute (E-Mail-Attribut) die Option Email Address (E-Mail-Adresse) ausgewählt wurde.
  3. Markieren Sie Manage existing users (Vorhandene Nutzer verwalten), um Änderungen für Nutzer zu synchronisieren, die manuell über die Dropbox Business-Verwaltungskonsole angelegt wurden.

Active Directory-Gruppensynchronisierung

  1. Wählen Sie aus, ob Sie Gruppen mit Ihrem Dropbox Business-Team synchronisieren möchten (die Gruppensynchronisierung ist optional).
  2. Wählen Sie bei der Synchronisierung von Gruppen aus, ob Sie dieselbe Gruppe verwenden möchten, die Sie für die Synchronisierung einzelner Nutzer ausgewählt haben.
  3. Wenn Sie eine andere Gruppe für die Synchronisierung von Gruppen ausgewählt haben, wählen Sie den Namen dieser Gruppe aus.

Protokoll

  1. Klicken Sie auf Change (Ändern), um einen anderen Pfad für die Protokolldatei anzugeben.
    • Hinweis: Wenn Sie keinen anderen Dateipfad angeben, wird das Protokoll im Standard-Dateipfad gespeichert: C:\ProgramData\Dropbox\AD Connector\db_ad_connector.log

E-Mail-Benachrichtigungen

  1. Klicken Sie auf Einstellungen, wenn Sie per E-Mail über Synchronisierungsfehler benachrichtigt werden möchten.
    • Hinweis: Verwenden Sie Port 587 oder Port 25 (unverschlüsselt). Port 465 wird derzeit nicht unterstützt.
  2. Prüfen Sie nach Abschluss der einzelnen Abschnitte mithilfe von Test Connection (Verbindung testen), ob die Konfiguration stimmt.
  3. Klicken Sie auf OK, wenn Sie mit der Konfiguration der E-Mail-Optionen fertig sind.
Einstellungen für E-Mail-Benachrichtigungen

Fertigstellen

  1. Klicken Sie auf Speichern, um sämtliche Konfigurationseinstellungen zu speichern.

Zurück zum Menü

5. Schritt: Führen Sie einen Testdurchlauf mit „Run AD Connector“ (AD-Connector ausführen) durch, um sich zu vergewissern, dass alles einwandfrei funktioniert.

  1. Suchen Sie die Verknüpfung Run AD Connector (AD-Connector ausführen) auf dem Desktop.
  2. Klicken Sie mit der rechten Maustaste auf Run AD Connector und wählen Sie Run as Administrator (Als Administrator ausführen) aus.
  3. Sehen Sie sich die Ergebnisse an, um sicherzustellen, dass die erwarteten Nutzer aufgeführt sind.
  4. Ist dies der Fall, öffnen Sie erneut das Config AD Connector-Tool und entfernen Sie die Markierung für Simulation Mode.
  5. Synchronisieren Sie neue Mitglieder Ihres Dropbox Business-Teams mit dem Run AD Connector-Tool.

Zurück zum Menü

6. Schritt: Suchen Sie die geplante Aufgabe und aktivieren Sie die Ausführung.

  1. Öffnen Sie Programme \ Dropbox \ AD Connector \ Helpers.
  2. Klicken Sie mit der rechten Maustaste auf die Datei AD-Connector-CreateTask.bat und dann auf Als Administrator ausführen.
  3. Öffnen Sie die Aufgabenplanung für Windows Server.
  4. Öffnen Sie den Ordner Dropbox Tasks.
  5. Klicken Sie mit der rechten Maustaste auf die Aufgabe Dropbox AD Connector und wählen Sie Aktivieren.
    • Hinweis: Wenn Sie diese Aufgabe nicht finden, klicken Sie mit der rechten Maustaste auf die Aufgabenplanungsbibliothek und wählen Sie Aktualisieren aus.
  6. Klicken Sie mit der rechten Maustaste auf die Aufgabe und wählen Sie Ausführen aus.
  7. Prüfen Sie im Synchronisierungsprotokoll des AD-Connectors, ob der Test fehlerfrei ausgeführt wurde.
  8. Sehen Sie in der Verwaltungskonsole von Dropbox Business auf der Seite „Nutzer“ nach, ob Einladungen an Teammitglieder versendet wurden.

Hinweise zum Anlegen geplanter Aufgaben:

  • Diese Aufgabe ist standardmäßig so eingestellt, dass sie einmal täglich um 2 Uhr morgens (Ortszeit) ausgeführt wird.
  • Sie kann häufiger ausgeführt werden, wir raten aber, sie nicht öfter als alle drei Stunden durchzuführen.
  • Stellen Sie sicher, dass geplante Aufgaben einander nicht unterbrechen. Wählen Sie dazu im Tab Settings (Einstellungen) die Option Do not start a new instance (Keine neue Instanz starten) aus:

Zurück zum Menü

Einstellungen für geplante Aufgaben

Erweiterte Einrichtungsoptionen und Problembehebung (optional)

Gruppen und der Active Directory Connector für Dropbox

Active Directory-Gruppen werden mit Dropbox synchronisiert, umgekehrt gilt dies jedoch nicht: Gruppen in Dropbox werden nicht mit AD synchronisiert. Änderungen in Dropbox Business werden nicht wieder mit Active Directory synchronisiert. Wenn Sie Gruppen in Dropbox Business löschen, werden diese nicht in Active Directory gelöscht. So können Sie Gruppen sowohl in Dropbox Business als auch in Active Directory löschen:

  • Entfernen Sie alle Nutzer aus der Synchronisierungsgruppe in Active Directory
  • Entfernen Sie die Synchronisierungsgruppe aus dem Konfigurationsschritt

Beachten Sie dabei Folgendes:

  • Wenn Sie mehrere Gruppen mit demselben Namen in Active Directory bzw. Dropbox Business haben, kann die Gruppensynchronisierung nicht durchgeführt werden. Außerdem wird im Protokoll ein Fehler verzeichnet.
  • In Dropbox können Gruppen außerdem nicht ineinander verschachtelt werden. In Dropbox Business können Gruppen nicht mehrere Ebenen haben. Die einzelnen Gruppen haben eine flache Struktur und enthalten keine anderen Gruppen.

Was passiert, wenn ich eine einzige Gruppe zur Synchronisierung sowohl meiner Nutzer als auch meiner Gruppen auswähle?

Wenn Gruppen Nutzer enthalten, die nicht in der Synchronisierungsgruppe enthalten sind, wird die Gruppe nicht mit Dropbox Business synchronisiert.

Wie werden Gruppen mit Dropbox synchronisiert, wenn ich eine andere Active Directory-Gruppe für die Synchronisierung der Nutzerkonten verwenden?

Alle Nutzer in der Nutzersynchronisierungsgruppe werden synchronisiert. Alle Gruppen in der Nutzersynchronisierungsgruppe werden ignoriert. Nutzer in der Gruppensynchronisierungsgruppe werden ignoriert, wenn sie nicht auch in der Nutzergruppe sind. Gruppen, die in der Nutzersynchronisierungsgruppe sind, werden ignoriert, wenn sie nicht außerdem in der Gruppensynchronisierungsgruppe sind.

Kontoübertragung und der Active Directory Connector für Dropbox

Der AD-Connector bietet keine Unterstützung für die automatische Kontoübertragung auf ein anderes Teammitglied. Allerdings werden gelöschte Konten und zugehörige Dateien in der Verwaltungskonsole aufgeführt. Von dort aus können sie entweder auf jemand anderen übertragen oder dauerhaft gelöscht werden. Erfahren Sie, wie Sie die Dateien eines gelöschten Nutzerkontos übertragen

Remote-Löschen und der Active Directory Connector für Dropbox

Beim Sperren oder Löschen von Nutzern mit dem AD-Connector wird das Remote-Löschen automatisch für alle Geräte ausgeführt. Entfernen Sie Nutzer oder Geräte über die Verwaltungskonsole, wenn Sie nicht alle Inhalte remote-löschen möchten.

Was mache ich, wenn die Synchronisierung des Active Directory Connectors fehlgeschlagen ist?

Jedes Mal, wenn der AD-Connector ausgeführt wird, wird ein Exitcode an das Ende der Protokolldatei angefügt. Dieser ordnet in diesem Fall den Grund für den Fehler zu und/oder bestimmt, welcher Teil des Prozesses fehlgeschlagen ist. In der folgenden Tabelle sehen Sie Beispiele, warum ein Fehler auftreten könnte.

  • Hinweis: Der AD-Connector protokolliert 0, wenn der Lauf erfolgreich ausgeführt wurde

Code

Fehlerursache

Fehlerbehebung

-1

PowerShell-Version wird nicht unterstützt
  • Nehmen Sie ein Upgrade auf PowerShell 4, 5 oder höher vor

-10

Konfigurationsdatei kann nicht gelesen werden
  • Wenn Sie die Konfigurationsdatei manuell bearbeitet haben, kann es sein, dass ein Fehler in der Datei vorliegt und unser Skript die Datei nicht lesen kann. Führen Sie das Konfigurationsskript erneut aus und überschreiben Sie manuelle Änderungen.
  • Prüfen Sie die Konfigurationsdateiberechtigungen. Das Ausführungsskript muss die Berechtigung haben, die Datei auszuführen.
  • Führen Sie die Konfigurationsdatei erneut aus, um die neue Datei zu speichern

-11

Skript muss mit Admin-Rechten ausgeführt werden
  • Klicken Sie bei der Skriptauswahl mit der rechten Maustaste darauf und wählen Sie run with admin privileges (mit Admin-Rechten ausführen) aus

-12

Active Directory-Modul konnte nicht initialisiert werden
  • Vergewissern Sie sich, dass Active Directory läuft und auf demselben Computer wie der AD-Connector ausgeführt wird
  • Prüfen Sie die Skriptberechtigungen für AD
  • Vergewissern Sie sich, dass Ihre Synchronisierungsgruppe einschließlich Untergruppen nicht mehr als 5.000 Mitglieder enthält, da Version 2.0 maximal 5.000 Nutzer unterstützt

-13

Die Dropbox Business-API konnte nicht initialisiert werden

-14

Teaminformationen konnten nicht aus der Dropbox Business-API abgerufen werden
  • Prüfen Sie den Fehlercode
  • Vergewissern Sie sich, dass das OAuth-Token gültig ist (führen Sie das Konfigurationsskript erneut aus, um ein neues OAuth-Token zu erhalten)
  • Vergewissern Sie sich, dass der Administrator erfolgreich authentifiziert wurde und dass das Team noch vorhanden ist
  • Vergewissern Sie sich unter status.dropbox.com, dass dropbox.com verfügbar ist

-15

Es wurden keine Nutzer in der konfigurierten Active Directory-Gruppe gefunden
  • Vergewissern Sie sich, dass die Gruppe die Nutzer enthält, die Sie synchronisieren wollten (nur die Nutzer in dieser Gruppe werden mit Ihrem Dropbox Business-Team synchronisiert)

-16

Teammitglieder konnten nicht aus der Dropbox Business-API abgerufen werden
  • Versuchen Sie es bitte noch einmal – möglicherweise ist ein vorübergehender Netzwerkfehler aufgetreten
  • Vergewissern Sie sich unter status.dropbox.com, dass dropbox.com verfügbar ist

-17

Fehler bei der Synchronisierung
  • Versuchen Sie es bitte noch einmal – möglicherweise ist ein vorübergehender Netzwerkfehler aufgetreten
  • Prüfen Sie, ob der Computer von einem anderen Prozess oder einem Fehler unterbrochen wurde
  • Vergewissern Sie sich, dass Ihre Synchronisierungsgruppe einschließlich Untergruppen nicht mehr als 5.000 Mitglieder enthält, da Version 2.0 maximal 5.000 Nutzer unterstützt
  • Wir raten dazu, die Größe synchronisierter Gruppen bei der aktuellen Version (v2.0) auf 2.000 Nutzer zu beschränken.
  • Dropbox-Support kontaktieren

In welchen Stufen wird der AD-Connector-Prozess ausgeführt?

1. Stufe: Verwaltete Nutzer werden ermittelt.

Der AD-Connector aktualisiert nur verwaltete Nutzer. Nutzer werden als verwaltet identifiziert, wenn die folgenden Kriterien erfüllt sind:

  1. Der AD-Connector schließt zuerst die Bereitstellung ab. Die Bereitstellung wird ausgeführt, wenn folgende Voraussetzungen erfüllt sind: a) die E-Mail-Adresse des Nutzers wird zur konfigurierten Active Directory-Gruppe hinzugefügt wird und b) diese E-Mail-Adresse wird nicht in Dropbox Business gefunden.
  2. Dieser Nutzer ist bereits Mitglieder Ihres Dropbox Business-Teams, d. h. die E-Mail-Adressen im Team und in der konfigurierten Active Directory-Gruppe stimmen überein.

Hinweise

  • Diese Überprüfung wird nur vorgenommen, wenn bei der AD-Connector-Konfiguration Vorhandene Nutzer verwalten markiert wurde.
  • Wenn eines dieser beiden Kriterien nicht erfüllt wird, gilt der Nutzer als nicht verwaltet. Der AD-Connector aktualisiert keine nicht verwalteten Nutzer. Für die Mehrzahl der Administratoren ist Vorhandene Nutzer verwalten die beste Option.

2. Stufe: Nutzerinformationen werden nur für verwaltete Nutzer aktualisiert.

  • Vorname eines Nutzers
  • Nachname eines Nutzers
  • E-Mail-Adresse eines Nutzers

Der AD-Connector sorgt dafür, dass die externe ID für den Nutzer zwischen Dropbox Business und AD abgestimmt wird, wenn es sich um verwaltete Nutzer (siehe 1. Stufe) handelt.

Ausnahme: Der AD-Connector aktualisiert keine Informationen für Nutzer, die in Dropbox Business den Status „Eingeladen“ haben. Der AD-Connector versucht später erneut, die Aktualisierung durchzuführen.

3. Stufe: Der Nutzerstatus wird nur für verwaltete Nutzer aktualisiert.

  • Durch das Deaktivieren verwalteter Nutzer werden diese nicht aus Ihrem Dropbox Business-Team gelöscht. Auch wenn sie aus der Active Directory-Synchronisierungsgruppe entfernt werden, bleiben sie im Dropbox Business-Team. Sie werden aber in Ihrem Dropbox Business-Team gesperrt.
  • Für die im ersten Schritt ermittelten verwalteten Nutzer gilt: Der AD-Connector aktualisiert in Dropbox Business den Nutzerstatus (aktiv, deaktiviert oder gelöscht), sodass dieser mit dem Nutzerstatus in AD übereinstimmt.

Zurück zum Menü

Identitätsmanagementpartner (optional)

Für die Integration in Active Directory benötigen Sie entweder ein Konto bei einem unserer Identitätsmanagementpartner oder eine Integration, die Sie über die Dropbox Business-API implementiert haben.

Hinweis: Nur bestimmte Arten von Admins haben die Berechtigung für die Integration in Active Directory.

Wenden Sie sich direkt an unsere Identitätsmanagementpartner, um Näheres zu den jeweiligen Dropbox-Angeboten zu erfahren:

  • Ping Identity
  • OneLogin
  • Okta
  • Centrify

Die Integration von Active Directory in Dropbox ermöglicht die Steuerung von Kontobereitstellungen und unterstützt das einmalige Anmelden (kurz SSO). Wenn Sie weitere Fragen zur Integration haben, wenden Sie sich an das Vertriebsteam von Dropbox oder den technischen Support von Okta bei OneLogin.

Zurück zum Menü

Wie nützlich war dieser Artikel?

Das tut uns leid.
Was können wir verbessern?

Vielen Dank für Ihr Feedback!
Inwieweit hat Ihnen dieser Artikel geholfen?

Vielen Dank für Ihr Feedback!

Verwandte Artikel
Verwandte Artikel

Andere Möglichkeiten, Hilfe zu erhalten

Community
Twitter-Support
Support kontaktieren