De Active Directory-connector van Dropbox

Bepaalde soorten beheerders kunnen Dropbox-teamlidmaatschappen beheren met behulp van de Active Directory. Met de Dropbox Active Directory (AD)-connector worden eventuele wijzigingen in de Active Directory automatisch gesynchroniseerd met Dropbox.

Je kunt contact opnemen met onze partners voor identiteitsbeheer als je hulp nodig hebt bij het instellen van de AD-connector voor je Dropbox-team.

Stap 1: bekijk de best practices voor de AD-connector

Vereist

• Alle gebruikers die je vanuit Active Directory wilt synchroniseren, moeten actieve gebruikers zijn binnen één AD-domein
• PowerShell 4.0 of hoger
• Windows Server 2008 (of nieuwer)
• Externe-serverbeheerprogramma's

Aanbevolen

• Maak één groep met de naam Dropbox en met alle leden die je wilt inrichten. Je kunt zowel gebruikers als groepen toevoegen aan de Dropbox-groep.
• Installeer de AD-connector op een server met alleen-lezen toegang (de AD-connector synchroniseert alleen wijzigingen die afkomstig zijn van AD).
• Upgraden vanaf een vorige versie van de AD-connector: een eenvoudige installatie wordt gewoonlijk correct bijgewerkt bij het upgraden van versie 2.0.1 naar versie 2.0.2. Maar als je upgradet tussen hoofdversies (van 1.0 naar 2.0), moet je de huidige versie verwijderen voordat je kunt upgraden naar de nieuwe versie.
• Voor de huidige release van de AD-connector raden we aan niet meer dan 10.000 gebruikers te synchroniseren vanuit Active Directory. Neem contact op met je Dropbox Customer Success Team als je de AD-connector voor meer dan 10.000 gebruikers wilt gebruiken.

Stap 2: download het Microsoft-installatieprogramma voor de AD-connector (MSI)

Stap 3: installeer de AD-connector

1. Zoek en start het installatieprogramma Dropbox-AD-Connector.msi.
2. Klik op Volgende om verder te gaan met de installatiewizard.
3. Klik op het selectievakje om de voorwaarden te accepteren en klik vervolgens op Volgende.
4. Klik op Volgende om te installeren in het standaardpad.
5. Klik op Installeren en kies vervolgens Ja als daarom wordt gevraagd door Gebruikersaccountbeheer.
6. Aan de slag is standaard ingeschakeld. Schakel deze optie uit als je deze handleiding al hebt geopend.
7. Selecteer Voltooien om de installatie te voltooien.

Stap 4: voltooi de configuratie van de AD Connector

Instellen

1. Zoek de snelkoppeling Configure AD Connector op je desktop en open deze.
2. Klik op Get OAuth2 Token om te koppelen met je Dropbox-account.
   • Meld je indien nodig aan bij Dropbox als beheerder
   • Keur indien nodig de appmachtigingen van de AD-connector goed.
3. Kopieer het token.
4. Plak het gekopieerde token in het veld OAuth 2 DfB Token.
5. Schakel het selectievakje Simulation Mode in als je de setup wilt testen.
   •  Opmerking: in de simulatiemodus worden er geen wijzigingen aangebracht in je Dropbox-team.

Active Directory-gebruikers synchroniseren

1. Selecteer de Active Directory-groep die je wilt synchroniseren met je Dropbox-team.
   • We raden aan een Active Directory-groep met de naam Dropbox te maken.
2. Controleer of Email Attribute is ingesteld op Email Address.
3. Schakel Bestaande gebruikers beheren in om wijzigingen van gebruikers die handmatig zijn gemaakt in de beheerconsole van Dropbox, te synchroniseren.

Active Directory-groepen synchroniseren

1. Bepaal of je groepen wilt synchroniseren met je Dropbox-team (groepen synchroniseren is optioneel).
2. Wanneer je groepen wilt synchroniseren, geef je aan of je dezelfde groep wilt gebruiken als je hebt gekozen voor het synchroniseren van gebruikers.
3. Selecteer de naam van de groep als je een andere groep wilt gebruiken om groepen te synchroniseren.

Logboek

1. Als je een ander pad voor het logboekbestand wilt opgeven, klik je op Change.
   • Opmerking: tenzij je een ander bestandspad opgeeft, wordt het logboek opgeslagen op de standaardlocatie: C:\ProgramData\Dropbox\AD Connector\db_ad_connector.log

E-mailmeldingen

1. Klik op Instellingen als je e‑mailmeldingen over synchronisatiefouten wilt ontvangen.
   • Opmerking: Gebruik poort 587 of poort 25 (niet versleuteld). Poort 465 wordt momenteel niet ondersteund.
2. Gebruik na elk gedeelte Test Connection om te controleren of de configuratie klopt.
3. Klik op OK als je klaar bent met het configureren van de e-mailopties.

Voltooien

4. Klik op Save om alle configuratie-instellingen op te slaan.

Stap 5: voer een testrun uit met 'Run AD-connector' en controleer of deze goed werkt

Om een testrun uit te voeren ga je als volgt te werk:

1. Zoek de snelkoppeling Run AD Connector op het bureaublad.
2. Klik met de rechtermuisknop op de tool Run AD Connector en kies Als administrator uitvoeren.
3. Bekijk de resultaten om te controleren of de verwachte gebruikers worden vermeld.
4. Als dat het geval is, open je de tool Config AD Connector opnieuw en schakel je Simulation Mode uit.
5. Gebruik de tool Run AD Connector om nieuwe leden te synchroniseren met je Dropbox-team.

Stap 6: zoek de geplande taak en schakel deze in om te worden uitgevoerd

Dit doe je als volgt:

1. Blader naar Program Files\Dropbox\AD Connector\Helpers.
2. Klik met de rechtermuisknop op het bestand AD-Connector-CreateTask.bat en kies Als administrator uitvoeren.
3. Open de toepassing Taakplanner voor Windows Server.
4. Open de map Dropbox Tasks.
5. Klik met de rechtermuisknop op de taak Dropbox AD Connector en kies Inschakelen.
   • Opmerking: als je deze taak niet kunt vinden, klik je met de rechtermuisknop op de Bibliotheek voor Taakplanner en kies je Vernieuwen.
6. Klik met de rechtermuisknop op de taak en kies Uitvoeren.
7. Zoek en controleer het synchronisatielogboek van de AD-connector om te controleren of de test goed is verlopen.
8. Controleer de pagina Leden in de beheerconsole om te verifiëren of er uitnodigingen zijn verzonden naar teamleden.

Zorg dat de geplande taken elkaar niet onderbreken: selecteer daarvoor Geen nieuwe instantie starten op het tabblad Instellingen:

Geavanceerde installatie en probleemoplossing (optioneel)

Groepen en de Active Directory-connector van Dropbox

Groepen in Active Directory worden gesynchroniseerd met Dropbox, maar Dropbox-groepen worden niet gesynchroniseerd met Active Directory. Wijzigingen vanuit Dropbox worden niet teruggesynchroniseerd naar Active Directory. Als je een groep uit Dropbox verwijdert, wordt die groep niet verwijderd uit Active Directory.

Je verwijdert een groep als volgt uit zowel Dropbox als Active Directory:

• Verwijder alle leden uit de synchronisatiegroep in Active Directory
• De synchronisatiegroep verwijderen uit de configuratie.

 

Wat gebeurt er als je één groep selecteert om zowel je gebruikers als je groepen te synchroniseren?

Wanneer een groep gebruikers bevat die geen deel uitmaken van de synchronisatiegroep, wordt die groep niet gesynchroniseerd met Dropbox.

Hoe synchroniseren groepen met Dropbox als ik een andere Active Directory-groep gebruik om gebruikersaccounts te synchroniseren?

Alle gebruikers in de synchronisatiegroep voor gebruikers worden gesynchroniseerd. Groepen in de synchronisatiegroep voor gebruikers worden genegeerd. Gebruikers in de synchronisatiegroep voor groepen worden genegeerd, tenzij ze ook lid zijn van de synchronisatiegroep voor gebruikers. Groepen in de synchronisatiegroep voor gebruikers worden genegeerd, tenzij ze ook lid zijn van de synchronisatiegroep voor groepen.

Accountoverdrachten en de Active Directory-connector van Dropbox

De AD-connector ondersteunt geen automatische overdracht van een account aan een ander teamlid. Verwijderde accounts (en bijbehorende bestanden) worden opgeslagen in de beheerconsole. Deze accounts kunnen wel worden overgedragen of eventueel definitief worden verwijderd. 

Meer informatie over het overzetten van de bestanden van een verwijderde gebruiker.

Extern verwijderen en de Active Directory-connector van Dropbox

Wanneer je gebruikers schorst of verwijdert met de AD-connector, worden alle apparaten automatisch extern verwijderd. Gebruik de Beheerconsole als je een gebruiker of apparaat wilt verwijderen zonder al het materiaal extern te verwijderen.

Wat moet ik doen als de synchronisatie van de Active Directory-connector mislukt?

Iedere keer als de AD-connector wordt uitgevoerd, wordt een afsluitcode toegevoegd aan het einde van het logboekbestand. Daarmee wordt de reden voor het mislukken aangegeven en/of welk deel van het proces is mislukt Deze tabel bevat voorbeelden van redenen waarom iets kan mislukken.

Er wordt een 0 geregistreerd als de AD-connector zonder problemen is uitgevoerd.

Code	Reden voor mislukking	Oplossing voor deze fout
Kan geen beveiligd SSL/TLS-kanaal maken	De server of de client ondersteunt TLS 1.2 niet	Werk bij naar de nieuwste versie van de AD-connector (zie stap 2 hierboven) en controleer of de server TLS 1.2 ondersteunt
-1	Powershell-versie niet ondersteund	Upgrade naar Powershell versie 4, 5 of hoger.
-10	Kan het configuratiebestand niet lezen	Als je het configuratiebestand handmatig hebt bewerkt, staat er mogelijk een fout in het bestand, waardoor ons script het niet kan lezen. Voer het configuratiescript opnieuw uit om handmatige bewerkingen te overschrijven. Controleer de machtigingen voor het configuratiebestand. Het uitvoeringsscript zou gemachtigd moeten zijn om dit bestand uit te voeren. Voer het configuratiebestand opnieuw uit om een nieuw bestand op te slaan.
-11	Script moet worden uitgevoerd met beheerdersmachtigingen	Klik bij het selecteren van het script met de rechtermuisknop en kies Als administrator uitvoeren.
-12	Kan Active Directory-module niet uitvoeren	Controleer of AD actief is en op dezelfde computer staat als de AD-connector. Controleer of het script machtigingen voor AD heeft. Zorg dat je synchronisatiegroep niet meer dan 5000 leden heeft, inclusief subgroepen. (Versie 2.0 ondersteunt niet meer gebruikers.)
-13	Dropbox-API is niet geïnitialiseerd	Controleer op status.dropbox.com of dropbox.com online is.
-14	Teamgegevens niet opgehaald uit Dropbox-API	Controleer de foutcode. Controleer of het OAuth-token geldig is (voer het configuratiescript opnieuw uit om een nieuw OAuth-token te ontvangen) Controleer of de beheerder is geauthenticeerd en of het team nog steeds bestaat. Controleer op status.dropbox.com of dropbox.com online is.
-15	Geen gebruikers gevonden in geconfigureerde Active Directory-groep	Controleer of de groep de gebruikers bevat die je wilde synchroniseren. (Alleen gebruikers in deze groep worden gesynchroniseerd met je Dropbox-teamaccount)
-16	Gegevens van teamleden niet opgehaald uit Dropbox-API	Probeer het opnieuw. Mogelijk is er een tijdelijk netwerkprobleem opgetreden. Controleer op status.dropbox.com of dropbox.com online is.
-17	Mislukt tijdens synchroniseren	Probeer het opnieuw. Mogelijk is er een tijdelijk netwerkprobleem opgetreden. Controleer of de computer is onderbroken door een ander proces of een andere fout. Zorg dat je synchronisatiegroep niet meer dan 5000 leden heeft, inclusief subgroepen. (Versie 2.0 ondersteunt niet meer gebruikers.) We raden aan de grootte van een synchronisatiegroep te beperken tot 2000 gebruikers met de huidige versie (2.0). Probeer de grootte van je groep te beperken tot 2000 of minder gebruikers. Contact met Dropbox Support

Wat zijn de fasen van het uitvoeringsproces van de AD-connector?

Fase 1: beheerde gebruikers identificeren

Alleen beheerde gebruikers worden bijgewerkt door de AD-connector. Beheerde gebruikers worden geïdentificeerd wanneer aan de volgende criteria wordt voldaan:

1.  De AD-connector voert eerst de gebruikersinrichting uit. Dit gebeurt wanneer:
   • Het e-mailadres van een gebruiker wordt toegevoegd aan de geconfigureerde Active Directory-groep.
   • Dit e-mailadres niet aanwezig is in Dropbox.
2. De gebruiker is een bestaande gebruiker in je Dropbox-team Dat wil zeggen dat de e-mailadressen van het team en de geconfigureerde Active Directory-groep overeenkomen.

Fase 2: de gebruikersgegevens bijwerken (alleen voor beheerde gebruikers).

• Voornaam van gebruiker
• Achternaam van gebruiker
• E-mailadres van gebruiker

De AD-connector zorgt ervoor dat de externe ID van de gebruiker overeenkomt in Dropbox en AD voor beheerde gebruikers uit fase 1.

Uitzondering: De AD-connector werkt geen gegevens bij voor gebruikers die in Dropbox de status 'Uitgenodigd' hebben. Wanneer de AD-connector later wordt uitgevoerd, wordt opnieuw geprobeerd deze gebruikers bij te werken.

Fase 3: de gebruikersstatus bijwerken (alleen voor beheerde gebruikers)

Als je een beheerde gebruiker uitschakelt, wordt de gebruiker niet verwijderd uit je Dropbox-team. Dit gebeurt ook niet wanneer je een gebruiker verwijdert uit de AD-synchronisatiegroep. In plaats daarvan worden deze gebruikers in je Dropbox-team geschorst.

Voor beheerde gebruikers die in de eerste fase zijn geïdentificeerd: de AD-connector kopieert de gebruikersstatus in Active Directory naar de gebruikersstatus in Dropbox (actief, uitgeschakeld of verwijderd).