Der neue Active Directory Connector für Dropbox

Aktualisiert Mar 14, 2024

Seit dem 13. April 2022 erfordert der Active Directory Connector für Aufrufe das Protokoll TLS 1.2 oder höher. Aufrufe mit TLS 1.0 und 1.1 werden nach diesem Datum nicht mehr unterstützt. 

Damit es nicht zu Unterbrechungen kommt, aktualisieren Sie Ihre TLS-Konfigurationen so bald wie möglich.

Admins mit bestimmten Berechtigungen können die Mitgliedschaft in Dropbox-Teams über ein Active Directory verwalten. Mit dem Active Directory Connector für Dropbox werden alle am Active Directory vorgenommenen Änderungen automatisch mit Dropbox synchronisiert. 
highlight icon

Hinweis: Änderungen, die in der Dropbox-Verwaltungskonsole an verwalteten Nutzern vorgenommen wurden, werden vom AD-Connector überschrieben. Änderungen und Ergänzungen, die in der Dropbox-Verwaltungskonsole an nicht verwalteten Nutzern vorgenommen wurden, werden jedoch nicht in Active Directory übernommen.

Wenden Sie sich an unsere Partner für das Identitätsmanagement, um zusätzliche Unterstützung bei der Einrichtung des AD-Connectors für Ihr Dropbox-Team zu erhalten.

1. Schritt: Machen Sie sich mit den Best Practices für den AD-Connector vertraut

Erforderlich

  • Alle Nutzer, die Sie aus Active Directory synchronisieren möchten, müssen in derselben AD-Domain aktiv sein
  • PowerShell 4.0 oder neuer
  • Windows Server 2008 oder neuer
  • Remote-Server-Verwaltungstools

Empfohlen

  • Erstellen Sie eine einzige Gruppe mit der Bezeichnung „Dropbox“, die sämtliche Nutzer enthält, für die Sie Dropbox bereitstellen möchten. Sie können dieser Dropbox-Gruppe sowohl einzelne Nutzer als auch Gruppen hinzufügen.
  • Installieren Sie den AD-Connector auf einem Server mit Lesezugriff. Der AD-Connector synchronisiert nur Änderungen, die in AD vorgenommen wurden.
  • Bei einem Upgrade von einer früheren Version des AD-Connectors: Normalerweise wird eine einfache Installation bei einem Upgrade von Version 2.0.1 auf Version 2.0.2 ordnungsgemäß aktualisiert. Wenn Sie jedoch ein Upgrade von einer Hauptversion auf eine andere durchführen (etwa von 1.0 auf 2.0), deinstallieren Sie die aktuelle Version, bevor Sie auf die neuere aktualisieren.
  • Für das aktuelle Release des AD-Connectors raten wir dazu, nicht mehr als 10.000 Nutzer aus Active Directory zu synchronisieren. Wenden Sie sich an unser Customer Success-Team, wenn Sie den AD-Connector für mehr als 10.000 Nutzer verwenden möchten.

2. Schritt: Laden Sie das MSI-Installationsprogramm für den AD-Connector herunter

3. Schritt: Installieren Sie den AD-Connector

  1. Führen Sie das Installationsprogramm Dropbox-AD-Connector.msi aus.
  2. Klicken Sie auf Weiter, um mit dem Installationsassistenten fortzufahren.
  3. Akzeptieren Sie die Nutzungsbedingungen, indem Sie das Kontrollkästchen markieren, und klicken Sie dann auf Weiter.
  4. Führen Sie die Installation im Standardpfad durch, indem Sie auf Weiter klicken.
  5. Klicken Sie auf Installieren. Wenn Sie in der Nutzerkontensteuerung dazu aufgefordert werden, wählen Sie Ja aus.
  6. Getting Started (Erste Schritte) ist standardmäßig markiert. Entfernen Sie die Markierung, wenn Sie diesen Leitfaden schon geöffnet haben.
  7. Wählen Sie Fertigstellen aus, um die Installation abzuschließen.

4. Schritt: Schließen Sie die AD-Connector-Konfiguration ab

Set-up

  1. Klicken Sie auf dem Desktop auf die Verknüpfung Configure AD Connector (AD-Connector konfigurieren).
  2. Klicken Sie auf OAuth2 Token abrufen, um eine Verbindung zu Ihrem Dropbox-Konto herzustellen.
    • Melden Sie sich gegebenenfalls als Admin bei Dropbox an.
    • Genehmigen Sie die Berechtigungen der AD-Connector-App, falls erforderlich
  3. Kopieren Sie das Token.
  4. Fügen Sie das kopierte Token in das Feld OAuth 2 DfB Token ein.
  5. Wenn Sie Konfigurationstests durchführen möchten, wählen Sie das Kontrollkästchen Simulation Mode (Simulationsmodus) aus.
    • Textmarker-Symbol Hinweis: Im Simulationsmodus werden keine Änderungen an Ihrem Dropbox-Team vorgenommen.
Fenster zur Konfiguration des Active Directory Connectors für Dropbox Business mit hervorgehobenem Kontrollkästchen „Simulationsmodus“.

Active Directory-Nutzersynchronisierung

  1. Wählen Sie die Active Directory-Gruppe aus, die Sie mit Ihrem Dropbox-Team synchronisieren möchten.
    • Erstellen Sie am besten eine Active Directory-Gruppe mit dem Namen „Dropbox“
  2. Vergewissern Sie sich, dass unter Email Attribute (E-Mail-Attribut) die Option Email Address (E-Mail-Adresse) ausgewählt wurde.
  3. Markieren Sie Manage existing users (Vorhandene Nutzer verwalten), um Änderungen für Nutzer zu synchronisieren, die manuell über die Dropbox-Verwaltungskonsole angelegt wurden.

Active Directory-Gruppensynchronisierung

  1. Wählen Sie aus, ob Sie Gruppen mit Ihrem Dropbox-Team synchronisieren möchten (die Gruppensynchronisierung ist optional).
  2. Wählen Sie bei der Synchronisierung von Gruppen aus, ob Sie dieselbe Gruppe verwenden möchten, die Sie für die Synchronisierung einzelner Nutzer ausgewählt haben.
  3. Wenn Sie eine andere Gruppe für die Synchronisierung von Gruppen ausgewählt haben, wählen Sie den Namen dieser Gruppe aus.

Protokoll

  1. Klicken Sie auf Change (Ändern), um einen anderen Pfad für die Protokolldatei anzugeben.
    • Hinweis: Wenn Sie keinen anderen Dateipfad angeben, wird das Protokoll im Standard-Dateipfad gespeichert: C:\ProgramData\Dropbox\AD Connector\db_ad_connector.log

E-Mail-Benachrichtigungen

  1. Klicken Sie auf Einstellungen, wenn Sie per E-Mail über Synchronisierungsfehler benachrichtigt werden möchten.
    • Hinweis: Verwenden Sie Port 587 oder Port 25 (unverschlüsselt). Port 465 wird derzeit nicht unterstützt.
  2. Prüfen Sie nach Abschluss der einzelnen Abschnitte mithilfe von Test Connection (Verbindung testen), ob die Konfiguration stimmt.
  3. Klicken Sie auf OK, wenn Sie mit der Konfiguration der E-Mail-Optionen fertig sind.
Fenster für Einstellungen zu E-Mail-Benachrichtigungen

Fertigstellen

  1. Klicken Sie auf Speichern, um sämtliche Konfigurationseinstellungen zu speichern.

5. Schritt: Führen Sie einen Testdurchlauf mit „Run AD Connector“ (AD-Connector ausführen) durch, um sich zu vergewissern, dass alles einwandfrei funktioniert

  1. Suchen Sie die Verknüpfung Run AD Connector (AD-Connector ausführen) auf dem Desktop.
  2. Klicken Sie mit der rechten Maustaste auf Run AD Connector und wählen Sie Run as Administrator (Als Administrator ausführen) aus.
  3. Sehen Sie sich die Ergebnisse an, um sicherzustellen, dass die erwarteten Nutzer aufgeführt sind.
  4. Ist dies der Fall, öffnen Sie erneut das Config AD Connector-Tool und entfernen Sie die Markierung für Simulation Mode.
  5. Synchronisieren Sie neue Mitglieder über das Run AD Connector-Tool mit Ihrem Dropbox-Team.

6. Schritt: Lokalisieren Sie die geplante Aufgabe und aktivieren Sie die Ausführung

  1. Öffnen Sie Programme \ Dropbox \ AD Connector \ Helpers.
  2. Klicken Sie mit der rechten Maustaste auf die Datei AD-Connector-CreateTask.bat und dann auf Als Administrator ausführen.
  3. Öffnen Sie die Aufgabenplanung für Windows Server.
  4. Öffnen Sie den Ordner Dropbox Tasks.
  5. Klicken Sie mit der rechten Maustaste auf die Aufgabe Dropbox AD Connector und wählen Sie Aktivieren.
    • Hinweis: Wenn Sie diese Aufgabe nicht finden, klicken Sie mit der rechten Maustaste auf die Aufgabenplanungsbibliothek und wählen Sie Aktualisieren aus.
  6. Klicken Sie mit der rechten Maustaste auf die Aufgabe und wählen Sie Ausführen aus.
  7. Vergewissern Sie sich, dass der Test erfolgreich durchgeführt wurde, indem Sie das Synchronisierungsprotokoll für den AD-Connector überprüfen.
  8. Schauen Sie auf der Seite Mitglieder der Verwaltungskonsole nach, ob Einladungen an Teammitglieder gesendet wurden.
highlight icon

Hinweise zum Anlegen geplanter Aufgaben:

  • Diese Aufgabe ist standardmäßig so eingestellt, dass sie einmal täglich um 2 Uhr morgens (Ortszeit) ausgeführt wird.
  • Sie kann häufiger ausgeführt werden, wir raten aber, sie nicht öfter als alle drei Stunden durchzuführen.

Stellen Sie sicher, dass geplante Aufgaben einander nicht unterbrechen. Wählen Sie dazu im Tab Settings (Einstellungen) die Option Do not start a new instance (Keine neue Instanz starten) aus:
Einstellungen für Dropbox-Eigenschaften (Lokaler Computer)

Erweiterte Einrichtungsoptionen und Problembehebung (optional)

Gruppen und der Active Directory Connector für Dropbox

Active Directory-Gruppen werden mit Dropbox synchronisiert, umgekehrt gilt dies jedoch nicht: Dropbox-Gruppen werden nicht mit AD synchronisiert. Änderungen in Dropbox werden nicht mit Active Directory synchronisiert. Wenn Sie eine Gruppe in Dropbox löschen, wird diese Gruppe dadurch nicht aus Active Directory gelöscht.

So können Sie Gruppen sowohl in Dropbox als auch in Active Directory löschen:

  • Entfernen Sie alle Mitglieder aus der Synchronisierungsgruppe in Active Directory
  • Entfernen Sie die Synchronisierungsgruppe aus dem Konfigurationsschritt

 

warning icon

Wichtig:

  • Wenn Sie verschiedene Gruppen mit demselben Namen in Active Directory bzw. Dropbox haben, kann die Gruppensynchronisierung nicht durchgeführt werden. Außerdem wird ein Fehler protokolliert.
  • In Dropbox können Gruppen außerdem nicht ineinander verschachtelt werden. Gruppen können in Dropbox nicht mehrere Ebenen haben. Die einzelnen Gruppen haben eine flache Struktur und enthalten keine anderen Gruppen.

Was passiert, wenn ich eine einzige Gruppe zur Synchronisierung sowohl meiner Nutzer als auch meiner Gruppen auswähle?

Wenn Gruppen Nutzer enthalten, die nicht in der Synchronisierungsgruppe enthalten sind, wird die Gruppe nicht mit Dropbox synchronisiert.

Wie werden Gruppen mit Dropbox synchronisiert, wenn ich eine andere Active Directory-Gruppe für die Synchronisierung der Nutzerkonten verwenden?

Alle Nutzer in der Nutzersynchronisierungsgruppe werden synchronisiert. Alle Gruppen in der Nutzersynchronisierungsgruppe werden ignoriert. Nutzer in der Gruppensynchronisierungsgruppe werden ignoriert, wenn sie nicht auch in der Nutzersynchronisierungsgruppe sind. Gruppen, die in der Nutzersynchronisierungsgruppe sind, werden ignoriert, wenn sie nicht außerdem in der Gruppensynchronisierungsgruppe sind.

Kontoübertragung und der Active Directory Connector für Dropbox

Der AD-Connector bietet keine Unterstützung für die automatische Kontoübertragung auf ein anderes Teammitglied. Allerdings werden gelöschte Konten und zugehörige Dateien in der Verwaltungskonsole aufgeführt. Von dort aus können sie entweder auf jemand anderen übertragen oder dauerhaft gelöscht werden. 

Erfahren Sie, wie Sie die Dateien eines gelöschten Nutzerkontos übertragen.

Remote-Löschen und der Active Directory Connector für Dropbox

Beim Sperren oder Löschen von Nutzern mit dem AD-Connector wird das Remote-Löschen automatisch für alle Geräte ausgeführt. Entfernen Sie Nutzer oder Geräte über die Verwaltungskonsole, wenn Sie nicht alle Inhalte remote-löschen möchten.

Was mache ich, wenn die Synchronisierung des Active Directory Connectors fehlgeschlagen ist?

Jedes Mal, wenn der AD-Connector ausgeführt wird, wird ein Exitcode an das Ende der Protokolldatei angefügt. Dieser Code gibt den Grund für den Fehler an und/oder bestimmt, welcher Teil des Prozesses fehlgeschlagen ist. In der folgenden Tabelle sehen Sie Beispiele, warum ein Fehler auftreten könnte.

Der AD-Connector protokolliert eine 0, wenn die Ausführung erfolgreich abgeschlossen wurde.

Code

Fehlerursache

Fehlerbehebung

Es konnte kein geschützter SSL/TLS-Kanal erstellt werden.

Der Server oder der Client unterstützt TLS 1.2 nicht

-1

PowerShell-Version wird nicht unterstützt

  • Nehmen Sie ein Upgrade auf PowerShell 4, 5 oder höher vor

-10

Konfigurationsdatei kann nicht gelesen werden

  • Wenn Sie die Konfigurationsdatei manuell bearbeitet haben, kann es sein, dass ein Fehler in der Datei vorliegt und unser Skript die Datei nicht lesen kann. Führen Sie das Konfigurationsskript erneut aus und überschreiben Sie manuelle Änderungen.
  • Prüfen Sie die Konfigurationsdateiberechtigungen. Das Ausführungsskript muss die Berechtigung haben, die Datei auszuführen.
  • Führen Sie die Konfigurationsdatei erneut aus, um die neue Datei zu speichern

-11

Skript muss mit Admin-Rechten ausgeführt werden

  • Klicken Sie bei der Skriptauswahl mit der rechten Maustaste darauf und wählen Sie run with admin privileges (mit Admin-Rechten ausführen) aus

-12

Das Active Directory-Modul konnte nicht initialisiert werden

  • Vergewissern Sie sich, dass Active Directory läuft und auf demselben Computer wie der AD-Connector ausgeführt wird
  • Prüfen Sie die Skriptberechtigungen für AD
  • Vergewissern Sie sich, dass Ihre Synchronisierungsgruppe einschließlich Untergruppen nicht mehr als 5.000 Mitglieder enthält, da Version 2.0 maximal 5.000 Nutzer unterstützt

-13

Die Dropbox-API konnte nicht initialisiert werden.

-14

Teaminformationen konnten nicht aus der Dropbox-API abgerufen werden.

  • Prüfen Sie den Fehlercode
  • Vergewissern Sie sich, dass das OAuth-Token gültig ist (führen Sie das Konfigurationsskript erneut aus, um ein neues OAuth-Token zu erhalten).
  • Vergewissern Sie sich, dass der Administrator erfolgreich authentifiziert wurde und dass das Team noch vorhanden ist
  • Vergewissern Sie sich unter status.dropbox.com, dass dropbox.com verfügbar ist

-15

Es wurden keine Nutzer in der konfigurierten Active Directory-Gruppe gefunden

  • Vergewissern Sie sich, dass die Gruppe die Nutzer enthält, die Sie synchronisieren wollten (nur die Nutzer in dieser Gruppe werden mit Ihrem Dropbox-Teamkonto synchronisiert).

-16

Teammitglieder konnten nicht aus der Dropbox-API abgerufen werden.

  • Versuchen Sie es bitte noch einmal – möglicherweise ist ein vorübergehender Netzwerkfehler aufgetreten
  • Vergewissern Sie sich unter status.dropbox.com, dass dropbox.com verfügbar ist

-17

Fehler bei der Synchronisierung

  • Versuchen Sie es bitte noch einmal – möglicherweise ist ein vorübergehender Netzwerkfehler aufgetreten
  • Prüfen Sie, ob der Computer von einem anderen Prozess oder einem Fehler unterbrochen wurde
  • Vergewissern Sie sich, dass Ihre Synchronisierungsgruppe einschließlich Untergruppen nicht mehr als 5.000 Mitglieder enthält, da Version 2.0 maximal 5.000 Nutzer unterstützt
  • Wir raten dazu, die Größe synchronisierter Gruppen bei der aktuellen Version (v2.0) auf 2.000 Nutzer zu beschränken.
  • Dropbox-Support kontaktieren

In welchen Stufen wird der AD-Connector-Prozess ausgeführt?

1. Stufe: Verwaltete Nutzer ermitteln

Der AD-Connector aktualisiert nur verwaltete Nutzer. Nutzer werden als verwaltet identifiziert, wenn die folgenden Kriterien erfüllt sind:

  1.  Der AD-Connector schließt zuerst die Bereitstellung ab. Eine Bereitstellung wird unter den folgenden Voraussetzungen vorgenommen:
    • Die E-Mail-Adresse eines Nutzers wird der konfigurierten Active Directory-Gruppe hinzugefügt
    • Diese E-Mail-Adresse wurde in Dropbox nicht gefunden
  2. Dieser Nutzer ist bereits Mitglied Ihres Dropbox-Teams, d. h. die E-Mail-Adressen im Team und in der konfigurierten Active Directory-Gruppe stimmen überein.
highlight icon

Hinweise: 

  • Diese Überprüfung wird nur vorgenommen, wenn bei der AD-Connector-Konfiguration Vorhandene Nutzer verwalten markiert wurde.
  • Wenn eines dieser beiden Kriterien nicht erfüllt wird, gilt der Nutzer als nicht verwaltet. Der AD-Connector aktualisiert keine nicht verwalteten Nutzer. Für die Mehrzahl der Administratoren ist Manage existing users die beste Wahl.

2. Stufe: Nutzerinformationen nur für verwaltete Nutzer aktualisieren

  • Vorname eines Nutzers
  • Nachname eines Nutzers
  • E-Mail-Adresse eines Nutzers

Der AD-Connector sorgt dafür, dass die externe ID für den Nutzer zwischen Dropbox und AD abgestimmt wird, wenn es sich um verwaltete Nutzer (siehe 1. Stufe) handelt.

Ausnahme: Der AD-Connector aktualisiert keine Informationen für Nutzer, die in Dropbox den Status „Eingeladen“ haben. Der AD-Connector versucht später erneut, die Aktualisierung durchzuführen.

3. Stufe: Nutzerstatus nur für verwaltete Nutzer aktualisieren

Durch das Deaktivieren verwalteter Nutzer werden diese nicht aus Ihrem Dropbox-Team gelöscht. Auch wenn sie aus der Active Directory-Synchronisierungsgruppe entfernt werden, bleiben sie im Dropbox-Team. Sie werden aber in Ihrem Dropbox-Team gesperrt.

Für die im ersten Schritt ermittelten verwalteten Nutzer gilt: Der AD-Connector aktualisiert in Dropbox den Nutzerstatus (aktiv, deaktiviert oder gelöscht), sodass dieser mit dem Nutzerstatus in AD übereinstimmt.

War dieser Artikel hilfreich?

Das tut uns leid.
Was können wir noch verbessern?

Vielen Dank für Ihr Feedback!
Wie hat Ihnen dieser Artikel konkret geholfen?

Vielen Dank für Ihr Feedback!

Andere Möglichkeiten, Hilfe zu erhalten