TeamViewer AD连接器(活动目录连接器)是一款方便管理员使用的工具,它允许用户通过活动目录轻松、集中地为公司中的所有员工创建和设置TeamViewer (Classic)帐户。这一功能大大简化了账户管理过程,无需编写脚本或具备编程知识。
一、要求
使用此功能需要满足以下条件:
1、TeamViewer 公司档案 (如何创建公司配置文件);
2、有效TeamViewer 高级版,专业版或者 Enterprise许可证;
3、从我们的集成站点下载AD连接器;
4、管理控制台中的API令牌 ;
5、Powershell 4.0 或更高 和 Windows 2012 或更高。
二、运行AD连接器
请先解压该文件,然后双击Configure TeamViewer AD Connector.bat文件。
三、开始使用
TeamViewer AD连接器有两个主要区域,例如配置Configuration 和已安排的任务 Scheduled task
UI配置提供以下功能:
- 显示并调整同步配置;
- 验证TeamViewer API令牌
- 手动运行同步脚本;
- 安装/卸载计划任务以自动运行同步脚本。
UI配置需要使用高级的用户权限运行才能安装和卸载计划任务。该脚本会要求高级权限(如有必要)。
四、配置
这些是TeamViewer AD连接器的可用配置参数
五、同步化
Api令牌:TeamViewer API访问令牌可用于TeamViewer 的公司用户管理。
1、在管理控制台登录账户;
2、编辑配置文件;
3、应用 ;
4、创建脚本令牌。
需要有相应权限:
- 用户管理中进行查看、创建和编辑;
- 帐户管理中的完整配置文件 ➜ 用于跳过 可能停用的API 令牌所有者;
- 可选:查看、创建、删除、编辑和共享组以进行组管理 ➜ 启用条件访问同步时需要。
- AD组 :用于同步的AD组的LDAP标识符(不带前导的“LDAP://”协议方案)。不需要在域控制器上运行 AD 连接器。 属于域的所有计算机都可以访问 AD 组列表。
- 试运行:如果设置为“true”,则同步不会修改任何TeamViewer 用户资源,而只会记录已执行的操作
- 停用不属于AD组成员的TeamViewer 用户:如果设置为“true”,则将禁用非该AD组成员的TeamViewer 用户
- 包括嵌套 AD 组的用户:如果设置为 `true`,嵌套 AD 组的用户将被包括在内。
- 包括用于同步的辅助电子邮件地址:如果设置为 `true` 辅助电子邮件地址将被包括在内。
- 包括用于同步的辅助电子邮件地址:如果设置为 `true` 辅助电子邮件地址将被包括在内。
六、TeamViewer帐户
- 语言:用作新创建的 TeamViewer 用户的默认语言的两个字母的语言标识符。例如,它用于本地化“欢迎”电子邮件。
七、账户类型
- 使用预定义密码创建帐户:新创建的TeamViewer 用户的初始密码,用户第一次登录时修改。
- 使用生成的密码创建帐户:系统会随机生成一个密码。密码重置邮件将自动发送给用户,以便用户可以更改密码。
- 使用单点登录 ➜ 仅包含在 Tensor 许可证中:用户可以通过 SSO 登录。管理员需要添加他在为公司激活 SSO 时获得的标识符。
八、群组
- 启用 TeamViewer 条件访问组同步 ➜ 仅包含在 Tensor 许可证中:用户可以将给定的 AD 组及其各自的用户与目录组同步,以便在 TeamViewer 中进行条件访问。 然后可以使用这些组来限制/允许某些用户使用 TeamViewer 功能。
- 启用 TeamViewer 用户组同步 ➜ 仅包含在 Tensor 许可证中:用户可以同步给定的 AD 组及其各自的用户。 然后可以将这些组用作 TeamViewer 管理控制台中的用户组,以限制/允许某些用户使用 TeamViewer 功能
九、条件访问
- 启用 TeamViewer 条件访问组同步 –> 仅包含在 Tensor 许可证中:用户可以将给定的 AD 组及其各自的用户与目录组同步,以便在 TeamViewer 中进行条件访问。然后可以使用这些组来限制/允许某些用户使用 TeamViewer 功能。
十、已计划任务
在指定的时间间隔创建计划任务:
...\TeamViewer\TeamViewer AD Connector
已安排的任务输出被重定向至指定的日志文件位置。可以按需要设置任务的间隔时长。该时长目前是一个小时。
为已计划任务更改用户:
可能需要修改用户才能拥有计划任务的必要执行权限。要更改计划任务的用户:
1、点击开始➜管理工具➜任务计划程序;
2、右键点击要修改的计划任务;
3、选择“属性”,然后选择“常规”选项卡;
4、单击“更改用户或组”按钮;
5、在输入要选择对象文本框中输入<USER>,然后按检查名称;
6、点击“OK”按钮;
7、在“运行任务时,使用以下用户账户”,应该能看到该用户;
8、点击“OK”按钮然后退出计划任务程序。
十一、用户同步逻辑
实际同步由TeamViewer ADConnector目录中的Invoke-Sync.ps1脚本按以下逻辑完成:
- 用指定的初始密码创建已配置AD组的用户,此AD组还不属于配置的TeamViewer 公司(由API令牌识别);
- 更新已配置TeamViewer公司中AD组的用户;
- 如果已配置,未出现在已配置的AD组的TeamViewer 公司用户将会被停用。
用户的识别是基于电子邮件地址完成的。 如果已配置,AD 用户和 TeamViewer 用户之间的映射也会考虑 AD 用户的辅助电子邮件地址。