TeamViewer AD连接器(活动目录连接器)可帮助管理员通过活动目录轻松集中地为公司中的所有员工创建和设置TeamViewer (Classic)帐户,而无需调整和使用脚本和编程知识。
本文适用于具有 TeamViewer 高级版,专业版或 Enterprise版许可证的客户。
要求
使用此功能您需要
- TeamViewer 公司档案 (如何创建您的公司配置文件)
- 有效TeamViewer 高级版,专业版或者 Enterprise许可证
- 从我们的集成站点下载AD连接器
- 管理控制台中的API令牌
- Powershell 4.0 或更高 和 Windows 2012 或更高
下载AD连接器
您可以从我们的集成站点上的网站下载AD Connector。
运行AD连接器
请先解压该文件,然后双击Configure TeamViewer AD Connector.bat文件。
开始使用
TeamViewer AD连接器有两个主要区域,例如配置Configuration 和已安排的任务 Scheduled task
UI配置提供以下功能:
- 显示并调整同步配置。
- 验证TeamViewer API令牌。
- 手动运行同步脚本。
- 安装/卸载计划任务以自动运行同步脚本。
UI配置需要使用高级的用户权限运行才能安装和卸载计划任务。该脚本会要求高级权限(如有必要)。
配置
这些是TeamViewer AD连接器的可用配置参数
同步化
设置: Api令牌 描述:TeamViewer API访问令牌可用于TeamViewer 的公司用户管理。
- 在 管理控制台 登录账户
- 编辑配置文件
- 应用
- 创建脚本令牌
您需要有相应权限:
- 用户管理中进行查看、创建和编辑
- 帐户管理中的完整配置文件 ➜ 用于跳过 可能停用的API 令牌所有者
- 可选:查看、创建、删除、编辑和共享组以进行组管理 ➜ 启用条件访问同步时需要
_____
设置:AD组
描述:用于同步的AD组的LDAP标识符(不带前导的“LDAP://”协议方案)。
您不需要在域控制器上运行 AD 连接器。 属于域的所有计算机都可以访问 AD 组列表。
_____
设置:试运行
描述:如果设置为“true”,则同步不会修改任何TeamViewer 用户资源,而只会记录已执行的操作
_____
设置:停用不属于AD组成员的TeamViewer 用户
描述:如果设置为“true”,则将禁用非该AD组成员的TeamViewer 用户
_____
设置:包括嵌套 AD 组的用户
描述:如果设置为 `true`,嵌套 AD 组的用户将被包括在内。
_____
设置:包括用于同步的辅助电子邮件地址
描述:如果设置为 `true` 辅助电子邮件地址将被包括在内。
_____
设置:包括用于同步的辅助电子邮件地址
描述:如果设置为 `true` 辅助电子邮件地址将被包括在内。
_____
TeamViewer 帐户
设置:语言
描述:用作新创建的 TeamViewer 用户的默认语言的两个字母的语言标识符。例如,它用于本地化“欢迎”电子邮件。
_____
账户类型
设置:使用预定义密码创建帐户
描述:新创建的TeamViewer 用户的初始密码,用户第一次登录时修改。
_____
设置:使用生成的密码创建帐户
描述:系统会随机生成一个密码。密码重置邮件将自动发送给用户,以便用户可以更改密码。
_____
设置:使用单点登录 ➜ 仅包含在 Tensor 许可证中
描述:用户可以通过 SSO 登录。管理员需要添加他在为您的公司激活 SSO 时获得的标识符。
_____
群组
设置:启用 TeamViewer 条件访问组同步 ➜ 仅包含在 Tensor 许可证中
说明:用户可以将给定的 AD 组及其各自的用户与目录组同步,以便在 TeamViewer 中进行条件访问。 然后可以使用这些组来限制/允许某些用户使用 TeamViewer 功能。
_____
设置:启用 TeamViewer 用户组同步 ➜ 仅包含在 Tensor 许可证中
说明:用户可以同步给定的 AD 组及其各自的用户。 然后可以将这些组用作 TeamViewer 管理控制台中的用户组,以限制/允许某些用户使用 TeamViewer 功能
_____
条件访问
设置:启用 TeamViewer 条件访问组同步 --> 仅包含在 Tensor 许可证中
描述:用户可以将给定的 AD 组及其各自的用户与目录组同步,以便在 TeamViewer 中进行条件访问。然后可以使用这些组来限制/允许某些用户使用 TeamViewer 功能。
_____
已计划任务
在指定的时间间隔创建计划任务:
...\TeamViewer\TeamViewer AD Connector
已安排的任务输出被重定向至指定的日志文件位置。
您可以按需要设置任务的间隔时长。该时长目前是一个小时。
为已计划任务更改用户:
您可能需要修改用户才能拥有计划任务的必要执行权限。要更改计划任务的用户:
- 点击开始➜管理工具➜任务计划程序
- 右键点击要修改的计划任务
- 选择“属性”,然后选择“常规”选项卡
- 单击“更改用户或组”按钮
- 在输入要选择对象文本框中输入<USER>,然后按检查名称
- 点击“OK”按钮
- 在“运行任务时,使用以下用户账户”,您应该能看到该用户
- 点击“OK”按钮然后退出计划任务程序
用户同步逻辑
实际同步由TeamViewer ADConnector目录中的Invoke-Sync.ps1脚本按以下逻辑完成:
- 用指定的初始密码创建已配置AD组的用户,此AD组还不属于配置的TeamViewer 公司(由API令牌识别)。
- 更新已配置TeamViewer公司中AD组的用户。
- 如果已配置,未出现在已配置的AD组的TeamViewer 公司用户将会被停用。
用户的识别是基于电子邮件地址完成的。 如果已配置,AD 用户和 TeamViewer 用户之间的映射也会考虑 AD 用户的辅助电子邮件地址。
