管理身份驗證

使用者管理工具可定義將具有控制台存取權的 Active Directory 群組的憑證。這些憑證僅供 Endpoint Manager 列舉目錄之用。您需要為想要授予控制台存取權的使用者所屬的每一個 Active Directory 提供憑證。您提供的驗證決定可選取的使用者群組，以便將控制台群組權限指派給這些群組。

控制台驗證是依據 Windows 本機或 Active Directory 群組成員身份。當 Ivanti 管理員將群組權限指派給本機或 Active Directory 群組時，該群組的使用者成員可登入 Windows 或 Web 控制台，並共用指派給該群組的權限。

使用 Endpoint Manager 管理 Active Directory 時，應注意以下問題:

• Active Directory 與 DNS 完全整合，並且需要 TCP/IP (DNS)。若要實現全部功能，DNS 伺服器必須支援 SRV 資源記錄或服務記錄。

• 如果使用 Active Directory 將使用者新增到控制台所使用的群組，則即使已經為使用者指派 Endpoint Manager 權限，該使用者也無法登入控制台。為了登入控制台，使用者必須屬於核心伺服器的本機 LANDESK 群組。如需詳細資訊，請參閱新增 Endpoint Manager 控制台使用者。

• 為使 Active Directory 可正確用於以角色為基礎的管理，必須在核心伺服器上設定 COM+ 伺服器憑證。這使核心伺服器可使用其中一個核心伺服器的本機 LANDESK 群組的帳戶，該帳戶擁有列舉 Windows 網域成員 (例如管理員帳戶) 所需的權限。如需如何執行設定的說明，請參閱組態 COM+ 伺服器憑證。

如果驗證的帳戶密碼變更，您必須登入控制台，並在「驗證」對話方塊中將密碼變更為新密碼。您能以本機群組的身份登入來執行這項工作。系統會驗證登入的使用者，所以任何現有的工作階段都將繼續工作。除非已在「使用者」工具中更正網域中使用者的密碼變更，否則將不允許已變更該密碼的使用者登入。

搭配 RBA 使用 Active Directory 時適用下列規則:

• 如果使用者是 Active Directory 群組的成員，使用者將繼承該群組的 RBA 權限。
• 如果使用者是 Active Directory 群組的成員 (即較高層級的群組的成員)，使用者將繼承上層群組的 RBA 權限。
• 群組可依據一般的 Active Directory 規則來嵌套與繼承適當的權限。

若要新增驗證

1. 在「使用者管理」工具 (工具 > 管理 > 使用者管理) 中，以滑鼠右鍵按一下使用者和群組，然後按一下新增 Active Directory 來源。
2. 在 Active Directory 來源對話方塊中，輸入授與 Active Directory 存取權的憑證。
3. 按一下確定。

調整目錄查詢頻率

稱為 Resolveusergroups.exe 的公用程式會定期執行 (每隔 20 分鐘)，以重新整理 Ivanti® Endpoint Manager 控制台使用者的清單。

一旦解析使用者清單，便會放在快取中，並使用到 Resolveusergroups.exe 再次執行為止。在某些 Active Directory 環境中，如果 TTL 值過小，一些已解析的使用者帳戶可能在解析所有帳戶前超過 TTL 閾值。這會造成快取不斷重新整理，而且控制台載入便得遲緩。

如果這種情況發生在您的環境中，請變更 Resolveusergroups.exe 的預設 TTL 設定。您可以執行 Resolveusergroups.exe /? 檢視其使用情況。TTL 值以秒為單位。以下是將 TTL 值設定為最大值的特定範例:

Resolveusergroups.exe /verbose /TTL 600 /LDTTL 60

TTL 值的任何變更都會寫入資料庫的 KeyValue 表格 (GroupResolutionTTL 及 LocalLDGroupResolutionTTL)，因此這些值將持續保留。