阿里郵箱是否支持AD同步&認(rèn)證,如何操作?使用Microsoft Exchange自建電子郵件系統(tǒng)的企業(yè)�����,AD系統(tǒng)作為電子郵件系統(tǒng)的認(rèn)證平臺(tái)��。作為辦公環(huán)境的信息中心��,AD賬號(hào)已經(jīng)關(guān)聯(lián)諸多應(yīng)用���,可謂牽一發(fā)而動(dòng)全身����。實(shí)現(xiàn)AD賬號(hào)同步創(chuàng)建對(duì)應(yīng)的阿里郵箱組織架構(gòu)��,郵件系統(tǒng)實(shí)現(xiàn)平滑遷移并保持AD賬號(hào)認(rèn)證登入阿里郵箱���,以實(shí)現(xiàn)統(tǒng)一的賬號(hào)管理�����。今天上海阿里郵箱騰曦小編就跟大家分享一下����。
一���、同步規(guī)則和注意點(diǎn)
1. 同步對(duì)象為部門OU����、賬號(hào)user�����、郵箱組distribution group�、以及郵件組內(nèi)成員group user;
2. 同步支持DC或OU。如只同步某根OU��,不需要同步的對(duì)象請(qǐng)勿放置根OU下�,或通過給OU的url打上nombx字符標(biāo)記,AD user的WWWHomePage打上nombx字符標(biāo)記��,安全組的WWWHomePage打上nombx字符標(biāo)記�,OU下的通訊組都同步不支持單個(gè)不同步����。
3. 同步只做新增��、禁用��、更新操作���,無法執(zhí)行同步刪除郵箱賬號(hào)��、郵件組���、部門的操作(如更改sAMAccountName值等于和原郵箱賬號(hào)解除同步關(guān)系,且會(huì)根據(jù)新的sAMAccountName值新建出郵箱賬號(hào))���。
4. cn在阿里側(cè)是“默認(rèn)昵稱”對(duì)內(nèi)的�����,發(fā)給同域的賬號(hào)收件人會(huì)看到來信賬號(hào)顯示名為“姓名(默認(rèn)昵稱)”; displayname在阿里側(cè)是“自定義昵稱”對(duì)外的����,發(fā)給外部郵件收件人會(huì)看到來信賬號(hào)顯示名為設(shè)置的 “自定義昵稱”。
重要
域管需要添加超過兩個(gè)賬號(hào)別名的情況下不建議做mail同步���,因?yàn)橥紸D mail后即以AD為基準(zhǔn)�����,郵箱側(cè)添加的別名會(huì)被mail覆蓋刪除���,只保留AD mail同步過來的別名地址;
郵箱需要用到多個(gè)獨(dú)立域名的��,做AD同步前請(qǐng)先在域管添加上其他的多域子域�����,然后新建一個(gè)多域賬號(hào)�,最后再做AD同步。已先做AD同步后添加多域子域的�����,如賬號(hào)刪除了無法進(jìn)行恢復(fù)�,如有歷史數(shù)據(jù)需要備份,請(qǐng)通過郵件轉(zhuǎn)移實(shí)現(xiàn)����,郵件轉(zhuǎn)移操作請(qǐng)參考什么是賬號(hào)回收站;
同步周期一般為分鐘級(jí)別�,最長(zhǎng)同步周期為 1 小時(shí)/ 次�, 1000賬號(hào)大概5分鐘左右同步完成,確保您的AD服務(wù)器的時(shí)間是準(zhǔn)確的�����。如多臺(tái)AD服務(wù)器之間也有同步��,請(qǐng)確保用于直接同步阿里郵箱的那臺(tái)AD服務(wù)器上的生效時(shí)間���,以保證增量同步至阿里側(cè)的時(shí)效性����。
同步支持的字段 1�����、如下是默認(rèn)支持同步的字段����,除賬號(hào)名外,其他字段支持自定義����,可選擇AD任意屬性字段進(jìn)行同步��; 2�、可自定義的這些字段也支持不同步�����,如無需同步請(qǐng)?zhí)崆案嬷?/span> |
AD側(cè) | 郵箱側(cè) |
cn | 姓名 |
sAMAccountName | 賬號(hào)名��,默認(rèn)郵箱地址@前綴 |
title | 職位 |
telephoneNumber | 工作電話 |
mobile | 手機(jī) |
mail | 域別名/賬號(hào)別名/獨(dú)立多域賬號(hào) |
displayname | 自定義昵稱(你發(fā)到公司外的郵件�����,發(fā)件人將顯示自定義昵稱) |
暫無默認(rèn)對(duì)應(yīng)屬性字段 | 默認(rèn)昵稱(企業(yè)內(nèi)賬號(hào)間可見) |
暫無默認(rèn)對(duì)應(yīng)屬性字段 | 工號(hào) |
組同步特殊說明 |
通訊組 | 安全組 |
sAMAccountName要符合郵箱賬號(hào)名格式 | sAMAccountName要符合郵箱賬號(hào)名格式 |
Name可以中文 | Name可以中文 |
Mail要符合郵箱地址格式 | Mail要符合郵箱地址格式 |
組作用域可以全局或通訊 | 組作用域可以全局或通訊 |
組內(nèi)成員可以同步 | 組內(nèi)成員可以同步 |
外域組員需填寫mail值 | 外域組員需填寫mail值 |
二����、認(rèn)證規(guī)則和注意點(diǎn)
做完認(rèn)證原本的鑒權(quán)中心會(huì)從郵箱切到了AD系統(tǒng)����,即當(dāng)用戶在客戶端或網(wǎng)頁端輸入賬號(hào)密碼的時(shí)候,通過標(biāo)準(zhǔn)LDAP協(xié)議查詢到企業(yè)的AD賬號(hào)服務(wù)�����,由AD系統(tǒng)校驗(yàn)賬號(hào)和密碼的正確性,如果正確則返回給阿里郵箱告知可以登錄��。
1. 請(qǐng)務(wù)必在AD側(cè)創(chuàng)建postmaster賬號(hào)��,且postmaster的userPrincipalname屬性值必須填寫與郵箱側(cè)postmaster一樣的地址�,否則認(rèn)證后將無法登錄管理員郵箱。
2. AD服務(wù)器地址和端口需要在公網(wǎng)以供阿里郵箱調(diào)用����。為保證AD服務(wù)的安全性,AD服務(wù)可以設(shè)置acl來源ip: 115.124.XX.XX ��、59.82.XX.XX進(jìn)行訪問控制�。
重要
一旦選擇通過AD賬號(hào)認(rèn)證登入阿里郵箱,那么所有關(guān)于登入鑒權(quán)及密碼的修改操作均在您的AD服務(wù)器上實(shí)現(xiàn)�����。若AD系統(tǒng)宕機(jī)則無法繼續(xù)登錄郵箱���。阿里支持主備AD進(jìn)行認(rèn)證���,避免一臺(tái)機(jī)器宕機(jī)后無法繼續(xù)登錄郵箱。
三��、實(shí)現(xiàn)場(chǎng)景對(duì)比
支持的三類場(chǎng)景:只做同步不做認(rèn)證、只做認(rèn)證不做同步���、既做同步又做認(rèn)證����。三類場(chǎng)景略有區(qū)別��,且有需要特別注意的地方���。
場(chǎng)景 | 區(qū)別 |
只做同步 | 1. user的userPrincipalname可以與登錄的郵箱地址不一致���。 2. 不能同步密碼,同步后郵箱賬號(hào)是沒有密碼的��,需要在郵箱域管進(jìn)行密碼設(shè)置才能登錄阿里郵箱���。 重要 切換場(chǎng)景時(shí)需要特別注意,如原本AD同步認(rèn)證都做���,后續(xù)改成不認(rèn)證只同步�,請(qǐng)事先做好準(zhǔn)備��。 |
只做認(rèn)證 | 1. 要求AD中所有需要認(rèn)證登錄的user中userPrincipalname(如有)字段有 email 地址值, 且該值與登錄的郵箱地址保持一致�����。 重要 切換場(chǎng)景時(shí)需要特別注意����,如原本AD同步和認(rèn)證都做,后續(xù)改成不同步只認(rèn)證�����,請(qǐng)事先做好準(zhǔn)備���。 2. 登錄郵箱需使用AD賬號(hào)密碼���,郵箱側(cè)設(shè)置的密碼無法登錄郵箱。 |
同步認(rèn)證都做 | 1. 除了postmaster其他user的userPrincipalname可以與登錄的郵箱地址不一致���。 2. 登錄郵箱需使用AD賬號(hào)密碼��,郵箱側(cè)設(shè)置的密碼無法登錄郵箱����。 |
四、屬性獲取
打開“Active Directory 用戶和計(jì)算機(jī)”����,勾選上查看中的“高級(jí)功能”,否側(cè)無法看到AD對(duì)象的屬性�����。
部門或用戶或郵件組對(duì)象�,右鍵-屬性-屬性編輯器,找到所需的相關(guān)屬性�。
ps:點(diǎn)擊任意屬性鍵盤輸入需要查找的屬性首字母,可以快速找到所查屬性����。
五、小技巧
如果同步出現(xiàn)較嚴(yán)重延遲�����,過了很久部門賬號(hào)或郵件組都沒同步至郵箱側(cè)�,建議刷新AD對(duì)象的任意非同步認(rèn)證相關(guān)的關(guān)鍵屬性值來觸發(fā)同步�����。如果涉及到對(duì)象比較多,也可以通過如下指令進(jìn)行批量操作�����。
方案1:直接打開cmd命令框
csvde -f C:\Users\Administrator\Desktop\20210908.csv -r "(objectClass=user)" -d "OU=小OU,OU=大OU,DC=xxx,DC=com" -l "SamAccountName,Mail"
ps:有一些特殊的值也不能直接導(dǎo)出�,如 wWWHomePage,如果要修改可以參考方案2的 import-Csv 命令
方案2:通過PowerShell 的 AD模塊實(shí)現(xiàn)
在管理工具中打開用于Windows PowerShell的ActiveDirectory 模塊命令行窗口或打開命令提示符窗口輸入PowerShell回車再輸入import-module activedirectory 導(dǎo)入AD模塊��。
批量修改導(dǎo)出的csv中賬號(hào)的相關(guān)屬性
Import-Csv -Path C:\Users\Administrator\Desktop\20210908.csv | foreach {Get-ADUser -Identity $_.SamAccountName |Set-ADUser -email $_.mail -HomePage $_.wWWHomePage }
聲明:本文由阿里郵箱收集整理的《阿里郵箱是否支持AD同步&認(rèn)證�,如何操作?》,如轉(zhuǎn)載請(qǐng)保留鏈接:http://shtengxi.cn/index/news_in/1152
