使用Microsoft Exchange自建電子郵件系統(tǒng)的企業(yè)�����,AD系統(tǒng)作為電子郵件系統(tǒng)的認證平臺��。作為辦公環(huán)境的信息中心�����,AD賬號已經(jīng)關(guān)聯(lián)諸多應(yīng)用,可謂牽一發(fā)而動全身��。實現(xiàn)AD賬號同步創(chuàng)建對應(yīng)的阿里郵箱組織架構(gòu)��,郵件系統(tǒng)實現(xiàn)平滑遷移并保持AD賬號認證登入阿里郵箱�,以實現(xiàn)統(tǒng)一的賬號管理。![AD同步效果圖]()
![1]()
一����、同步規(guī)則和注意點
1. 同步對象為部門OU、賬號user���、郵箱組distribution group��、以及郵件組內(nèi)成員group user�;
2. 同步支持DC或OU�����。如只同步某根OU�,不需要同步的對象請勿放置根OU下,或通過給OU的url打上nombx字符標記��,AD user的WWWHomePage打上nombx字符標記,安全組的WWWHomePage打上nombx字符標記����,OU下的通訊組都同步不支持單個不同步����。
3. 同步只做新增、禁用��、更新操作����,無法執(zhí)行同步刪除郵箱賬號、郵件組���、部門的操作(如更改sAMAccountName值等于和原郵箱賬號解除同步關(guān)系�����,且會根據(jù)新的sAMAccountName值新建出郵箱賬號)�����。
4. cn在阿里側(cè)是“默認昵稱”對內(nèi)的��,發(fā)給同域的賬號收件人會看到來信賬號顯示名為“姓名(默認昵稱)”; displayname在阿里側(cè)是“自定義昵稱”對外的���,發(fā)給外部郵件收件人會看到來信賬號顯示名為設(shè)置的 “自定義昵稱”����。
重要
域管需要添加超過兩個賬號別名的情況下不建議做mail同步�,因為同步AD mail后即以AD為基準,郵箱側(cè)添加的別名會被mail覆蓋刪除�����,只保留AD mail同步過來的別名地址���;
郵箱需要用到多個獨立域名的���,做AD同步前請先在域管添加上其他的多域子域,然后新建一個多域賬號��,最后再做AD同步�。已先做AD同步后添加多域子域的,如賬號刪除了無法進行恢復(fù)�����,如有歷史數(shù)據(jù)需要備份,請通過郵件轉(zhuǎn)移實現(xiàn)���,郵件轉(zhuǎn)移操作請參考什么是賬號回收站����;
同步周期一般為分鐘級別�,最長同步周期為 1 小時/ 次��, 1000賬號大概5分鐘左右同步完成���,確保您的AD服務(wù)器的時間是準確的��。如多臺AD服務(wù)器之間也有同步��,請確保用于直接同步阿里郵箱的那臺AD服務(wù)器上的生效時間�����,以保證增量同步至阿里側(cè)的時效性�。
同步支持的字段 1����、如下是默認支持同步的字段�����,除賬號名外�,其他字段支持自定義����,可選擇AD任意屬性字段進行同步; 2�����、可自定義的這些字段也支持不同步�,如無需同步請?zhí)崆案嬷?/span> |
AD側(cè) | 郵箱側(cè) |
cn | 姓名 |
sAMAccountName | 賬號名,默認郵箱地址@前綴 |
title | 職位 |
telephoneNumber | 工作電話 |
mobile | 手機 |
mail | 域別名/賬號別名/獨立多域賬號 |
displayname | 自定義昵稱(你發(fā)到公司外的郵件��,發(fā)件人將顯示自定義昵稱) |
暫無默認對應(yīng)屬性字段 | 默認昵稱(企業(yè)內(nèi)賬號間可見) |
暫無默認對應(yīng)屬性字段 | 工號 |
組同步特殊說明 |
通訊組 | 安全組 |
sAMAccountName要符合郵箱賬號名格式 | sAMAccountName要符合郵箱賬號名格式 |
Name可以中文 | Name可以中文 |
Mail要符合郵箱地址格式 | Mail要符合郵箱地址格式 |
組作用域可以全局或通訊 | 組作用域可以全局或通訊 |
組內(nèi)成員可以同步 | 組內(nèi)成員可以同步 |
外域組員需填寫mail值 | 外域組員需填寫mail值 |
二��、認證規(guī)則和注意點
做完認證原本的鑒權(quán)中心會從郵箱切到了AD系統(tǒng)���,即當用戶在客戶端或網(wǎng)頁端輸入賬號密碼的時候����,通過標準LDAP協(xié)議查詢到企業(yè)的AD賬號服務(wù),由AD系統(tǒng)校驗賬號和密碼的正確性���,如果正確則返回給阿里郵箱告知可以登錄���。![認證原理]()
1. 請務(wù)必在AD側(cè)創(chuàng)建postmaster賬號,且postmaster的userPrincipalname屬性值必須填寫與郵箱側(cè)postmaster一樣的地址�����,否則認證后將無法登錄管理員郵箱��。
2. AD服務(wù)器地址和端口需要在公網(wǎng)以供阿里郵箱調(diào)用����。為保證AD服務(wù)的安全性����,AD服務(wù)可以設(shè)置acl來源ip: 115.124.XX.XX 、59.82.XX.XX進行訪問控制�。
重要
一旦選擇通過AD賬號認證登入阿里郵箱,那么所有關(guān)于登入鑒權(quán)及密碼的修改操作均在您的AD服務(wù)器上實現(xiàn)����。若AD系統(tǒng)宕機則無法繼續(xù)登錄郵箱。阿里支持主備AD進行認證,避免一臺機器宕機后無法繼續(xù)登錄郵箱���。
三�����、實現(xiàn)場景對比
支持的三類場景:只做同步不做認證���、只做認證不做同步、既做同步又做認證�����。三類場景略有區(qū)別��,且有需要特別注意的地方�。
場景 | 區(qū)別 |
只做同步 | 1. user的userPrincipalname可以與登錄的郵箱地址不一致。 2. 不能同步密碼��,同步后郵箱賬號是沒有密碼的��,需要在郵箱域管進行密碼設(shè)置才能登錄阿里郵箱����。 重要 切換場景時需要特別注意�,如原本AD同步認證都做����,后續(xù)改成不認證只同步,請事先做好準備�。 |
只做認證 | 1. 要求AD中所有需要認證登錄的user中userPrincipalname(如有)字段有 email 地址值, 且該值與登錄的郵箱地址保持一致��。 重要 切換場景時需要特別注意��,如原本AD同步和認證都做�,后續(xù)改成不同步只認證,請事先做好準備��。 2. 登錄郵箱需使用AD賬號密碼��,郵箱側(cè)設(shè)置的密碼無法登錄郵箱�����。 |
同步認證都做 | 1. 除了postmaster其他user的userPrincipalname可以與登錄的郵箱地址不一致�。 2. 登錄郵箱需使用AD賬號密碼��,郵箱側(cè)設(shè)置的密碼無法登錄郵箱�。 |
四��、屬性獲取
打開“Active Directory 用戶和計算機”��,勾選上查看中的“高級功能”����,否側(cè)無法看到AD對象的屬性�。![AD高級功能]()
部門或用戶或郵件組對象,右鍵-屬性-屬性編輯器�����,找到所需的相關(guān)屬性���。
ps:點擊任意屬性鍵盤輸入需要查找的屬性首字母�����,可以快速找到所查屬性����。![屬性值]()
五���、小技巧
如果同步出現(xiàn)較嚴重延遲��,過了很久部門賬號或郵件組都沒同步至郵箱側(cè)���,建議刷新AD對象的任意非同步認證相關(guān)的關(guān)鍵屬性值來觸發(fā)同步��。如果涉及到對象比較多�����,也可以通過如下指令進行批量操作�����。
方案1:直接打開cmd命令框
csvde -f C:\Users\Administrator\Desktop\20210908.csv -r "(objectClass=user)" -d "OU=小OU,OU=大OU,DC=xxx,DC=com" -l "SamAccountName,Mail"
ps:有一些特殊的值也不能直接導(dǎo)出���,如 wWWHomePage,如果要修改可以參考方案2的 import-Csv 命令
方案2:通過PowerShell 的 AD模塊實現(xiàn)
在管理工具中打開用于Windows PowerShell的ActiveDirectory 模塊命令行窗口或打開命令提示符窗口輸入PowerShell回車再輸入import-module activedirectory 導(dǎo)入AD模塊�。
批量修改導(dǎo)出的csv中賬號的相關(guān)屬性
Import-Csv -Path C:\Users\Administrator\Desktop\20210908.csv | foreach {Get-ADUser -Identity $_.SamAccountName |Set-ADUser -email $_.mail -HomePage $_.wWWHomePage }
