Mit dem TeamViewer Active Directory Connector (AD Connector) können Administratoren TeamViewer Konten einfach und zentral für alle Mitarbeiter in einem Unternehmen über Active Directory erstellen und einrichten, ohne dabei Skripte und Programmierkenntnisse einsetzen zu müssen.

Dieser Artikel richtet sich an alle TeamViewer Kunden mit einem Premium, Corporate oder Tensor Lizenz.

Voraussetzungen

Um dieses Feature nutzen zu können, benötigen Sie

AD Connector herunterladen

Sie können den AD Connector von unserer Integrationen Seite herunterladen.

AD Connector ausführen

Entpacken Sie die Datei und führen Sie einen Doppelklick auf die Datei Configure TeamViewer AD Connector.bat aus, um das Programm auszuführen.

Erste Schritte

Der TeamViewer AD Connector umfasst die zwei Hauptbereiche Konfiguration und Geplante Aufgabe.

Die Benutzeroberfläche für die Konfiguration bietet folgende Funktionen:

  • Synchronisationskonfiguration anzeigen und anpassen.
  • Eingegebenes TeamViewer API-Token validieren.
  • Manuelles Ausführen des Synchronisierungsskripts.
  • Installieren/Deinstallieren einer geplanten Aufgabe, um das Synchronisierungsskript automatisch auszuführen.

Die Konfigurationsoberfläche muss mit erhöhten Benutzerrechten ausgeführt werden, damit die geplante Aufgabe installiert und deinstalliert werden kann. Das Skript fragt automatisch nach erhöhten Rechten (falls erforderlich).

Konfiguration (3 Reiter)

Dies sind die verfügbaren Konfigurationsparameter für den TeamViewer AD Connector.

Synchronisierung

Einstellung: API-Token

Beschreibung: Das TeamViewer API-Token wird für den Zugriff auf die Benutzerverwaltung des TeamViewer Firmenprofils verwendet. Erstellen Sie das Skript-Token

  1. Melden Sie sich unter https://login.teamviewer.com/ an.
  2. Klicken Sie auf Ihr Profil in der oberen rechts oben und dann auf Profil bearbeiten.
  3. Klicken Sie auf Apps.
  4. Klicken Sie auf Skript-Token erstellen.

Sie benötigen nur die folgenden Berechtigungen, die Sie über den kleinen Pfeil links neben dem Namen der Option öffnen können: 

  • Anzeigen, bearbeiten und erstellen in der Benutzerverwaltung
  • Kontodaten anzeigen in der Kontoverwaltung → Wird verwendet, um eine mögliche Deaktivierung des API-Token-Besitzers zu überspringen
  • Optional: Lesen, teilen, bearbeiten, löschen und erstellen in der Gruppenverwaltung → erforderlich, wenn die Synchronisierung mit Conditional Access aktiviert ist

_____

Einstellung: AD Gruppen

Beschreibung: Die LDAP-Kennung (ohne das vorangestellte „LDAP://“ Protokollschema) der AD Gruppen, die für die Synchronisierung verwendet werden.

Sie müssen den AD Connector nicht auf einem Domain Controller ausführen. Alle Computer, die Teil der Domain sind, können auf die Liste der AD Gruppen zugreifen.

_____

Einstellung: Testlauf

Beschreibung: Wenn Sie das Kontrollkästchen aktivieren, findet bei der Synchronisation keine Änderung der TeamViewer Benutzerressourcen statt. Stattdessen werden nur die Vorgänge protokolliert, die ausgeführt worden wären.

_____

Einstellung: TeamViewer Benutzer deaktivieren, die nicht Mitglieder der AD Gruppen sind

Beschreibung: Wenn Sie das Kontrollkästchen aktivieren, werden TeamViewer Benutzer, die nicht Mitglied in der ausgewählten AD Gruppe sind, deaktiviert.

_____

Einstellung: Benutzer verschachtelter AD Gruppen einschließen

Beschreibung: Wenn Sie das Kontrollkästchen aktivieren, werden Benutzer verschachtelter AD Gruppen mit eingeschlossen.

_____

Einstellung: Sekundäre E-Mail-Adressen ebenfalls berücksichtigen

Beschreibung: Wenn Sie das Kontrollkästchen aktivieren, werden sekundäre E-Mail-Adressen mit eingeschlossen.

_____

TeamViewer Konten

Einstellung: Sprache

Beschreibung: Die aus zwei Buchstaben bestehende Sprachkennung wird bei neu erstellten TeamViewer Benutzern als Standardsprache verwendet, um beispielsweise die E-Mail zur Begrüßung in die Landessprache zu übersetzen.

_____

Kontotyp

Einstellung: Konten mit vorgegebenem Passwort erstellen

Beschreibung: Das anfängliche Kennwort, das für neu erstellte TeamViewer Benutzer verwendet wird, welches vom Benutzer beim ersten Login geändert werden muss. 

_____

Einstellung: Konten mit generiertem Passwort erstellen

Beschreibung: Ein zufälliges Passwort wird vom System generiert. Eine E-Mail zum Zurücksetzen des Kennworts wird automatisch an den Benutzer gesendet, damit der Benutzer das Kennwort ändern kann.

_____

Einstellung: Single Sign-On verwenden (benötigt Tensor Lizenz)

Beschreibung: Benutzer können sich über SSO anmelden. Der Administrator muss die Customer ID hinzufügen, die er beim Aktivieren von SSO für Ihr Unternehmen erhalten hat.

Gruppen

Einstellung: TeamViewer Conditional Access Gruppen synchronisieren → nur in der Tensor Lizenz enthalten

Beschreibung: Benutzer können die angegebenen AD-Gruppen und ihre jeweiligen Benutzer mit den Verzeichnisgruppen für den Conditional Access in TeamViewer synchronisieren. Diese Gruppen können dann verwendet werden, um TeamViewer Funktionen für bestimmte Benutzer einzuschränken/zuzulassen.

_____

Einstellung: TeamViewer Nutzergruppen synchronisieren  → nur in der Tensor Lizenz enthalten

Beschreibung: Benutzer können die angegebenen AD-Gruppen und ihre jeweiligen Benutzer für bestimmte Nutzergruppen in TeamViewer synchronisieren. Diese Gruppen können dann verwendet werden, um TeamViewer Funktionen für bestimmte Benutzer einzuschränken/zuzulassen.

_____

Geplante Aufgabe

Die geplante Aufgabe wird mit dem angegebenen Intervall wie folgt erstellt:

...\TeamViewer \TeamViewer AD Connector

Die Ausgabe der geplanten Aufgabe wird zum angegebenen Speicherort der Protokolldatei umgeleitet.

Sie können das Intervall für die Aufgabe beliebig festlegen. Das Intervall ist derzeit auf stündlich gesetzt.

Benutzer der geplanten Aufgabe ändern:

Möglicherweise müssen Sie den Benutzer ändern, um über die erforderlichen Ausführungsberechtigungen für die geplante Aufgabe zu verfügen. So ändern Sie den Benutzer der geplanten Aufgabe:

  1. Klicken Sie auf Start --> Verwaltung --> Aufgabenplanung
  2. Wählen Sie die Aufgabenplanungsbibliothek aus
  3. Klicken Sie mit der rechten Maustaste auf die zu ändernde geplante Aufgabe, wählen Sie Eigenschaften und anschließend die Registerkarte Allgemein oder klicken Sie auf die geplante Aufgabe einfach doppelt
  4. Klicken Sie auf die Schaltfläche Benutzer oder Gruppe ändern... 
  5. Tragen Sie <BENUTZER> in die Geben Sie die zu verwendenden Objektnamen ein Box ein und klicken Sie anschließend auf Namen überprüfen
  6. Wählen Sie OK
  7. Unter Beim Ausführen der Aufgaben folgendes Benutzerkonto verwenden: sehen Sie dann den gewählten Benutzer
  8. Wählen Sie OK und verlassen Sie anschließen die geplanten Aufgaben

 

Synchronisierungslogik für Benutzer

Die eigentliche Synchronisierung erfolgt durch das Invoke-Sync.ps1-Skript im Verzeichnis TeamViewer ADConnector mittels folgender Logik:

  • Benutzer der konfigurierten AD Gruppe, die dem konfigurierten TeamViewer Firmenprofil (durch API-Token gekennzeichnet) noch nicht angehören, werden mit dem angegebenen ursprünglichen Kennwort erstellt.
  • Benutzer der konfigurierten AD Gruppe, die bereits Teil des konfigurierten TeamViewer Firmenprofils sind, werden aktiviert bzw. aktualisiert, wenn der Name des Benutzers geändert wurde oder der TeamViewer Benutzer deaktiviert wird.
  • Bei entsprechender Konfiguration werden diejenigen Benutzer des TeamViewer Firmenprofils deaktiviert, die nicht in der konfigurierten AD Gruppe vertreten sind.

Die Identifizierung der Benutzer erfolgt anhand der E-Mail Adressen. Wenn konfiguriert, werden auch die sekundären E-Mail Adressen von AD Benutzern für die Zuordnung zwischen AD Benutzern und TeamViewer Benutzern berücksichtigt.