Konektor Active Directory usługi Dropbox

Niektóre typy administratorów mogą zarządzać członkostwem w zespole Dropbox za pomocą usługi Active Directory. Dzięki łącznikowi Active Directory (AD) z Dropbox wszelkie zmiany wprowadzone w usłudze Active Directory synchronizują się automatycznie z Dropbox.

Aby uzyskać dodatkową pomoc w konfigurowaniu konektora AD na potrzeby zespołu Dropbox, możesz się kontaktować z naszymi partnerami ds. zarządzania tożsamością.

Krok 1: Przejrzyj najlepsze praktyki dotyczące konektora AD

Wymagane

• Wszyscy użytkownicy przeznaczeni do synchronizacji z Active Directory muszą być aktywni w jednej domenie AD
• PowerShell 4.0 lub nowszy
• Windows Server 2008 (lub nowszy)
• Narzędzia administracji zdalnej serwera

Polecana

• Utwórz jedną grupę o nazwie „Dropbox” zawierającą wszystkich członków, których chcesz wdrożyć. W grupie Dropbox możesz umieścić zarówno użytkowników, jak i grupy.
• Zainstaluj Konektor AD na serwerze z dostępem tylko do odczytu. (Konektor synchronizuje wyłącznie zmiany pochodzące z AD).
• Aktualizowanie poprzednich wersji Konektora AD: W przypadku aktualizowania wersji 2.0.1 do wersji 2.0.2 zazwyczaj wystarczy zwykła instalacja. Jeśli jednak wykonujesz aktualizację między wersjami głównymi (z wersji 1.0 do 2.0), przed zaktualizowaniem do nowej wersji odinstaluj bieżącą wersję.
• W przypadku obecnej wersji Konektora AD zalecamy synchronizowanie nie więcej niż 10 000 użytkowników z Active Directory. Jeśli liczba użytkowników przekracza 10 000, przed skorzystaniem z Konektora AD skontaktuj się z zespołem Dropbox ds. jakości obsługi.

Krok 2: Pobierz instalator Microsoft (MSI) konektora AD

Krok 3: Zainstaluj konektor AD

1. Zlokalizuj i uruchom instalator Dropbox-AD-Connector.msi .
2. Kliknij Dalej, aby kontynuować pracę z kreatorem instalacji.
3. Zaznacz pole wyboru, aby zaakceptować warunki, a następnie kliknij przycisk Dalej.
4. Kliknij Dalej, aby zainstalować go w domyślnej ścieżce.
5. Kliknij Zainstaluj, a następnie wybierz Tak jeśli Kontrola konta użytkownika (UAC) wyświetli takowy monit.
6. Wprowadzenie jest zaznaczone domyślnie — jeśli masz już otwarty ten przewodnik, odznacz pole.
7. Wybierz Zakończ, aby zakończyć instalację,

Krok 4: Dokończ konfigurację konektora AD

Konfiguracja

1. Znajdź i otwórz skrót na pulpicie Skonfiguruj AD Connector (Configure AD Connector).
2. Kliknij Get OAuth2 token, aby połączyć się z kontem Dropbox.
   • W razie potrzeby zaloguj się do Dropbox przy użyciu poświadczeń administratora
   • Jeśli to konieczne, zatwierdź uprawnienia aplikacji Konektor AD.
3. Skopiuj token.
4. Wklej skopiowany token do pola OAuth 2 DFB Token .
5. Jeśli chcesz wykonać testy konfiguracji, zaznacz pole wyboru Tryb symulacji (Simulation Mode).
   •  Uwaga: w trybie symulacji w Twoim zespole nie są wprowadzane żadne zmiany.

Synchronizacja użytkowników Active Directory

1. Wybierz grupę Active Directory, którą chcesz zsynchronizować ze swoim zespołem Dropbox.
   • Najłatwiej jest utworzyć grupę Active Directory pod nazwą „Dropbox”.
2. Upewnij się, że Atrybut e-mail (Email Attribute) jest ustawiony jako Adres e-mail (Email Address).
3. Zaznacz Zarządzaj istniejącymi użytkownikami (Manage existing users), aby zsynchronizować zmiany użytkowników, którzy zostali utworzeni ręcznie za pośrednictwem konsoli administratora.

Synchronizacja grup Active Directory

1. Zdecyduj, czy chcesz również zsynchronizować grupy ze swoim zespołem Dropbox (synchronizacja grup jest opcjonalna).
2. W celu synchronizacji grup zdecyduj, czy chcesz użyć tej samej grupy, która została wybrana do synchronizacji poszczególnych użytkowników.
3. Jeśli do synchronizacji grup wybierzesz inną grupę, wybierz jej nazwę.

Dziennik

1. Jeśli chcesz wprowadzić inną ścieżkę do pliku dziennika, kliknij Zmień (Change).
   • Uwaga: jeśli nie podasz innej ścieżki do pliku, dziennik jest zapisywany w lokalizacji domyślnej: C:\ProgramData\Dropbox\AD Connector\db_ad_connector.log

Powiadomienia e-mail

1. Jeśli chcesz otrzymywać powiadomienia e-mail o ewentualnych błędach synchronizacji, kliknij Ustawienia (Settings).
   • Uwaga: wybierz port 587 lub port 25 (bez szyfrowania). Port 465 obecnie nie jest obsługiwany.
2. Na zakończenie każdej sekcji kliknij Testuj połączenie (Test Connection), aby sprawdzić poprawność konfiguracji.
3. Kliknij OK po skonfigurowaniu opcji e-mail.

Zakończ

4. Kliknij Zapisz (Save), aby zapisać wszystkie ustawienia konfiguracyjne.

Krok 5: Przeprowadź test, uruchamiając łącznik AD i upewnij się, że działa prawidłowo.

Aby wykonać test:

1. Znajdź na pulpicie skrót Run AD Connector.
2. Kliknij prawym przyciskiem myszy Run AD Connector i wybierz Uruchom jako administrator.
3. Przejrzyj wyniki w celu zapewnienia, że ​​oczekiwani użytkownicy są na liście.
4. Jeśli tak, otwórz ponownie narzędzie konfiguracji Config AD Connector i odznacz Tryb symulacji (Simulation Mode).
5. Użyj narzędzia Run AD Connector w celu zsynchronizowania nowych członków z Twoim zespołem Dropbox.

Krok 6: Zlokalizuj zaplanowane zadanie i włącz je, aby mogło zostać uruchomione.

Aby to zrobić:

1. Przejdź do folderu Program Files \ Dropbox \ AD Connector (Konektor AD) \ Helpers.
2. Kliknij prawym przyciskiem myszy AD-Connector-CreateTask.bat i wybierz Uruchom jako administrator.
3. Otwórz aplikację Harmonogram zadań dla serwera Windows.
4. Otwórz folder Dropbox Tasks.
5. Kliknij prawym przyciskiem myszy zadanie Dropbox AD Connector i wybierz Włącz.
   • Uwaga: jeśli nie możesz znaleźć tego zadania, kliknij prawym przyciskiem myszki Bibliotekę harmonogramu zadań i wybierz Odśwież.
6. Kliknij prawym przyciskiem myszy na zadanie i wybierz Uruchom (Run).
7. Zlokalizuj i przejrzyj dziennik synchronizacji Konektora AD, aby upewnić się, że test przeszedł poprawnie.
8. Przejrzyj stronę Członkowie w konsoli administratora, aby sprawdzić, czy zaproszenia zostały wysłane do członków zespołu.

Upewnij się, że zaplanowane zadania nie zakłócają się nawzajem, wybierając opcję Nie uruchamiaj nowego wystąpienia na karcie Ustawienia:

Zaawansowane ustawienia i rozwiązywanie problemów (opcjonalnie)

Grupy a Kontektor Dropbox Active Directory

Grupy w usłudze Active Directory synchronizują się z Dropbox, ale grupy Dropbox nie synchronizują się z AD. Zmiany wprowadzone w Dropbox nie są synchronizowane z powrotem z Active Directory. Usunięcie grupy z Dropbox nie powoduje jej usunięcia z Active Directory.

Aby usunąć grupę zarówno w Dropbox, jak i w Active Directory, należy:

• Usunąć wszystkich członków z grupy synchronizacji w Active Directory
• Usunąć grupę synchronizacji z kroku konfiguracji

 

Co się stanie w przypadku wybrania jednej grupy do synchronizacji zarówno użytkowników, jak i grup?

Jeśli określona grupa zawiera użytkowników, którzy nie znajdują się w grupie synchronizacji, taka grupa nie zostanie zsynchronizowana z Dropbox.

Jak grupy synchronizują się z Dropbox, jeśli używam innej grupy Active Directory do synchronizowania kont użytkowników?

Synchronizowani są wszyscy użytkownicy w grupie synchronizacji użytkowników. Ewentualne grupy zawarte w grupie synchronizacji użytkowników są ignorowane. Użytkownicy umieszczeni w grupie synchronizacji grup są ignorowani, jeśli nie znajdują się również w grupie synchronizacji użytkowników . Grupy umieszczone w grupie synchronizacji użytkowników są ignorowane, jeśli nie znajdują się również w grupie synchronizacji grup.

Przenoszenie kont a Konektor Dropbox Active Directory

Łącznik AD nie obsługuje automatycznego przeniesienia konta na innego członka zespołu. Jednak usunięte konta (i powiązane z nimi pliki) są przechowywane w konsoli administratora. Konta te można przenieść lub trwale usunąć. 

Dowiedz się, jak przenieść pliki usuniętego użytkownika.

Zdalne czyszczenie a Konektor Dropbox Active Directory

Podczas zawieszania lub usuwania użytkowników przy użyciu Konektora AD następuje automatyczne zdalne wyczyszczenie wszystkich urządzeń. Za pomocą Konsoli administratora można usunąć użytkownika lub urządzenie bez zdalnego czyszczenia całej zawartości.

Co mam zrobić w przypadku niepowodzenia synchronizacji za pomocą Konektora Active Directory?

Po każdym uruchomieniu Konektora AD na końcu pliku dziennika dodawany jest kod zakończenia. Kod ten określa przyczynę niepowodzenia i/lub część procesu, która się nie powiodła. W poniższej tabeli przedstawiono wszystkie możliwe przyczyny niepowodzeń.

Konektor AD rejestruje w dzienniku wartość 0 w przypadku pomyślnego wykonania przebiegu.

Kod	Przyczyna niepowodzenia	Jak usunąć błąd
Nie można utworzyć bezpiecznego kanału SSL/TLS	Serwer lub klient nie obsługuje protokołu TLS 1.2	Zaktualizuj do najnowszej wersji konektora AD (patrz krok 2 powyżej) i sprawdź, czy serwer obsługuje protokół TLS 1.2.
-1	Nieobsługiwana wersja Powershell	Uaktualnij Powershell do wersji 4, 5 lub wyższej.
-10	Nie można odczytać pliku konfiguracji	Jeśli plik konfiguracji był edytowany ręcznie, może zawierać błąd uniemożliwiający odczytanie pliku przez nasz skrypt. Uruchom ponownie skrypt konfiguracyjny, aby nadpisać zmiany wprowadzone ręcznie Sprawdź uprawnienia do pliku konfiguracji – skrypt powinien mieć uprawnienia do uruchamiania tego pliku. Uruchom ponownie plik konfiguracji, aby zapisać nowy plik.
-11	Skrypt musi być uruchamiany z uprawnieniami administratora	Wybierając skrypt, kliknij prawym przyciskiem myszki i wybierz uruchomienie z uprawnieniami administratora.
-12	Nie można zainicjować modułu Active Directory	Upewnij się, że AD działa i znajduje się na tym samym komputerze co Konektor AD. Upewnij się, że skrypt ma uprawnienia do AD. Upewnij się, że grupa synchronizacji zawiera nie więcej niż 5000 użytkowników, wraz z podgrupami (wersja 2.0 nie obsługuje więcej użytkowników).
-13	Nie udało się zainicjować interfejsu API Dropbox	Sprawdź dostępność dropbox.com na stronie status.dropbox.com.
-14	Nie udało się pobrać informacji o zespole z interfejsu API Dropbox	Sprawdź kod błędu. Sprawdź, czy token OAuth jest prawidłowy (uruchom ponownie skrypt konfiguracji, aby uzyskać nowy token OAuth). Upewnij się, że administrator został pomyślnie uwierzytelniony i że zespół wciąż istnieje. Sprawdź dostępność dropbox.com na stronie status.dropbox.com.
-15	W skonfigurowanej grupie Active Directory nie znaleziono użytkowników	Upewnij się, że wybrana grupa zawiera użytkowników, którzy mieli zostać zsynchronizowani (tylko użytkownicy z tej grupy są synchronizowani z Twoim kontem zespołu Dropbox).
-16	Nie udało się pobrać członków zespołu z interfejsu API Dropbox	Spróbuj ponownie – mógł wystąpić przejściowy problem z siecią. Sprawdź dostępność dropbox.com na stronie status.dropbox.com.
-17	Niepowodzenie podczas synchronizacji	Spróbuj ponownie – mógł wystąpić przejściowy problem z siecią. Sprawdź, czy działanie komputera nie zostało zakłócone przez inny proces lub błąd. Upewnij się, że grupa synchronizacji zawiera nie więcej niż 5000 użytkowników, wraz z podgrupami (wersja 2.0 nie obsługuje więcej użytkowników). W obecnej wersji (2.0) sugerujemy ograniczenie rozmiaru synchronizowanej grupy do 2000 użytkowników. Dlatego spróbuj ograniczyć rozmiar grupy do 2000 lub mniejszej liczby użytkowników. Kontakt z pomocą techniczną Dropbox

Jakie są etapy pracy Kontektora AD?

Etap 1. Identyfikacja użytkowników podlegających zarządzaniu

Konektor AD aktualizuje tylko użytkowników podlegających zarządzaniu. Użytkownik jest uważany za podlegającego zarządzaniu w przypadku spełnienia poniższych kryteriów:

1.  Konektor AD najpierw wykonuje operację nadania praw użytkownika. Nadanie praw użytkownika ma miejsce, gdy
   • Do skonfigurowanej grupy Active Directory jest dodawany adres e-mail użytkownika.
   • Ten adres e-mail nie znajduje się w Dropbox.
2. Jest to użytkownik istniejący w Twoim zespole Dropbox. Oznacza to, że adresy e-mail w zespole i skonfigurowanej grupie Active Directory są ze sobą zgodne.

Etap 2. Aktualizacja informacji o użytkowniku w ramach użytkowników podlegających zarządzaniu

• imienia użytkownika
• nazwiska użytkownika
• adresu e-mail użytkownika

Konektor AD dba o to, aby w przypadku użytkowników podlegających zarządzaniu z etapu 1 identyfikator zewnętrzny użytkownika zgadzał się między Dropbox i AD.

Wyjątek: łącznik AD nie aktualizuje informacji o użytkownikach, którzy mają stan „Zaproszony” w Dropbox. Łącznik AD będzie próbował zaktualizować te dane podczas kolejnych uruchomień.

Etap 3. Aktualizacja stanu użytkownika w ramach użytkowników podlegających zarządzaniu

Wyłączenie użytkowników podlegających zarządzaniu nie powoduje ich usunięcia z Twojego zespołu Dropbox. Takiego skutku nie wywołuje również usunięcie użytkowników z grupy synchronizacji Active Directory. Zamiast tego użytkownicy są zawieszani w zespole Dropbox.

W przypadku użytkowników podlegających zarządzaniu zidentyfikowanych w kroku pierwszym, konektor AD aktualizuje stan użytkownika (aktywny, wyłączony lub usunięty) w Dropbox, aby dopasować stan użytkownika w AD.