MDaemon 解决方案之同步AD域账户方案

  • 2019-07-25 11:34:16

问题:

如果已经手动创建了MDaemon用户,但是希望和AD域中存在的用户进行同步,该怎么做才能实现平滑过渡呢?  

相关说明:

①由于AD域和MDaemon之间是单向同步(只能通过AD域同步到MDaemon),并且AD域与MDaemon同步只是验证账户,不会对MDaemon邮箱中的邮件等数据造成修改。除非设置了如下选项: 那么在对AD域上的用户进行删除操作时,MDaemon上同步的用户也会被删除,同时电子邮件也会一并删除。 [caption id="attachment_3047" align="alignnone" width="423"] 活动目录和MDaemon账户的同步设置[/caption] ②如果账户已经在MDaemon中创建,想要再通过AD域同步的话必须先修改AD验证为已启用: [caption id="attachment_3048" align="alignnone" width="677"] 账户编辑器里AD验证已启用[/caption] 如果AD验证未切换到已启用就开启AD同步的话,则无法将AD域中的密码同步到MDaemon中,但是在AD域中删除账户时,MDaemon上对应的用户会受到相应的影响。 切换为AD域同步后如果想要修改密码只能通过AD域来修改密码,在MDaemon控制台中修改后AD验证则会切换到已禁用,届时MDaemon对应账户无法同步AD域上的密码。  

批量启用AD验证的方法:

①使用全局管理员账户导出账户的Accounts.csv文件 ②打开Accounts.csv文件,如果在【账户】->【账户设置】->【其他】->【密码】中勾选了【保存使用不可逆加密的邮箱密码】,则在文件里可以看到【SecurePassword】一栏,我们需要把这一栏中的信息删除,因为如果和AD域同步后,将不再使用创建MDaemon账号时手动设置的密码。 [caption id="attachment_3049" align="alignnone" width="1640"] 导出的Account.csv文件(1)[/caption] ③【Password】一栏为\\<SECURE>表示账户AD验证为已禁用,密码为创建MDaemon账户时设置的密码。若要启用AD验证,则需要将【Password】中的\\<SECURE>修改为两个反斜杠,后接用户所属域。这里以\\MDAEMON为例。(如果无法看到【Password】一栏,需要在\MDaemon\App\MDaemon.ini中的【Special】中添加ExportPasswords=Yes) [caption id="attachment_3050" align="alignnone" width="1642"] 导出的Accounts.csv文件(2)[/caption] ④修改完成后保存。在MDaemon中的【账户】->【导入】->【从逗号分隔的文本文件导入账户】导入刚刚修改完后的.csv文件。导入后会提示成功导入的用户数,在用户信息里AD验证已经变成了已启用,这个时候就可以从AD域中同步账号信息了。 ⑤在【账户】->【账户设置】->【活动目录】中勾选【监控活动目录并创建/更新MDaemon账户】和【创建账户时使用活动目录域名】,同时在【AD验证的Windows域】一栏中输入域,之后点击【立即执行全方位的活动目录扫描】执行同步。  

建议:

先将账户信息、配置文件等进行备份,之后再进行该操作。