MDaemon 解决方案之同步AD域账户方案
问题:
如果已经手动创建了MDaemon用户,但是希望和AD域中存在的用户进行同步,该怎么做才能实现平滑过渡呢?
相关说明:
①由于AD域和MDaemon之间是单向同步(只能通过AD域同步到MDaemon),并且AD域与MDaemon同步只是验证账户,不会对MDaemon邮箱中的邮件等数据造成修改。除非设置了如下选项:
那么在对AD域上的用户进行删除操作时,MDaemon上同步的用户也会被删除,同时电子邮件也会一并删除。
[caption id="attachment_3047" align="alignnone" width="423"]
活动目录和MDaemon账户的同步设置[/caption]
②如果账户已经在MDaemon中创建,想要再通过AD域同步的话必须先修改AD验证为已启用:
[caption id="attachment_3048" align="alignnone" width="677"]
账户编辑器里AD验证已启用[/caption]
如果AD验证未切换到已启用就开启AD同步的话,则无法将AD域中的密码同步到MDaemon中,但是在AD域中删除账户时,MDaemon上对应的用户会受到相应的影响。
切换为AD域同步后如果想要修改密码只能通过AD域来修改密码,在MDaemon控制台中修改后AD验证则会切换到已禁用,届时MDaemon对应账户无法同步AD域上的密码。
批量启用AD验证的方法:
①使用全局管理员账户导出账户的Accounts.csv文件
②打开Accounts.csv文件,如果在【账户】->【账户设置】->【其他】->【密码】中勾选了【保存使用不可逆加密的邮箱密码】,则在文件里可以看到【SecurePassword】一栏,我们需要把这一栏中的信息删除,因为如果和AD域同步后,将不再使用创建MDaemon账号时手动设置的密码。
[caption id="attachment_3049" align="alignnone" width="1640"]
导出的Account.csv文件(1)[/caption]
③【Password】一栏为\\<SECURE>表示账户AD验证为已禁用,密码为创建MDaemon账户时设置的密码。若要启用AD验证,则需要将【Password】中的\\<SECURE>修改为两个反斜杠,后接用户所属域。这里以\\MDAEMON为例。(如果无法看到【Password】一栏,需要在\MDaemon\App\MDaemon.ini中的【Special】中添加ExportPasswords=Yes)
[caption id="attachment_3050" align="alignnone" width="1642"]
导出的Accounts.csv文件(2)[/caption]
④修改完成后保存。在MDaemon中的【账户】->【导入】->【从逗号分隔的文本文件导入账户】导入刚刚修改完后的.csv文件。导入后会提示成功导入的用户数,在用户信息里AD验证已经变成了已启用,这个时候就可以从AD域中同步账号信息了。
⑤在【账户】->【账户设置】->【活动目录】中勾选【监控活动目录并创建/更新MDaemon账户】和【创建账户时使用活动目录域名】,同时在【AD验证的Windows域】一栏中输入域,之后点击【立即执行全方位的活动目录扫描】执行同步。
建议:
先将账户信息、配置文件等进行备份,之后再进行该操作。