Directory and Resource Administrator and Exchange Administrator Administrator Guide July 2016 Legal Notice NetIQ Directory and Resource Administrator and Exchange Administrator are protected by United States Patent No. 6,792,462. THIS DOCUMENT AND THE SOFTWARE DESCRIBED IN THIS DOCUMENT ARE FURNISHED UNDER AND ARE SUBJECT TO THE TERMS OF A LICENSE AGREEMENT OR A NON-DISCLOSURE AGREEMENT. EXCEPT AS EXPRESSLY SET FORTH IN SUCH LICENSE AGREEMENT OR NON-DISCLOSURE AGREEMENT, NETIQ CORPORATION PROVIDES THIS DOCUMENT AND THE SOFTWARE DESCRIBED IN THIS DOCUMENT "AS IS" WITHOUT WARRANTY OF ANY KIND, EITHER EXPRESS OR IMPLIED, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE. SOME STATES DO NOT ALLOW DISCLAIMERS OF EXPRESS OR IMPLIED WARRANTIES IN CERTAIN TRANSACTIONS; THEREFORE, THIS STATEMENT MAY NOT APPLY TO YOU. This document and the software described in this document may not be lent, sold, or given away without the prior written permission of NetIQ Corporation, except as otherwise permitted by law. Except as expressly set forth in such license agreement or non-disclosure agreement, no part of this document or the software described in this document may be reproduced, stored in a retrieval system, or transmitted in any form or by any means, electronic, mechanical, or otherwise, without the prior written consent of NetIQ Corporation. Some companies, names, and data in this document are used for illustration purposes and may not represent real companies, individuals, or data. This document could include technical inaccuracies or typographical errors. Changes are periodically made to the information herein. These changes may be incorporated in new editions of this document. NetIQ Corporation may make improvements in or changes to the software described in this document at any time. © 2016 NetIQ Corporation. All rights reserved. U.S. Government Restricted Rights: If the software and documentation are being acquired by or on behalf of the U.S. Government or by a U.S. Government prime contractor or subcontractor (at any tier), in accordance with 48 C.F.R. 227.7202- 4 (for Department of Defense (DOD) acquisitions) and 48 C.F.R. 2.101 and 12.212 (for non-DOD acquisitions), the government’s rights in the software and documentation, including its rights to use, modify, reproduce, release, perform, display or disclose the software or documentation, will be subject in all respects to the commercial license rights and restrictions provided in the license agreement. Check Point, FireWall-1, VPN-1, Provider-1, and SiteManager-1 are trademarks or registered trademarks of Check Point Software Technologies Ltd. ActiveAudit, ActiveView, Aegis, AppManager, Change Administrator, Change Guardian, Compliance Suite, the cube logo design, Directory and Resource Administrator, Directory Security Administrator, Domain Migration Administrator, Exchange Administrator, File Security Administrator, Group Policy Administrator, Group Policy Guardian, Group Policy Suite, IntelliPolicy, Knowledge Scripts, NetConnect, NetIQ, the NetIQ logo, PSAudit, PSDetect, PSPasswordManager, PSSecure, Secure Configuration Manager, Security Administration Suite, Security Manager, Server Consolidator, VigilEnt, and Vivinet are trademarks or registered trademarks of NetIQ Corporation or its subsidiaries in the USA. All other company and product names mentioned are used only for identification purposes and may be trademarks or registered trademarks of their respective companies. For purposes of clarity, any module, adapter or other similar material ("Module") is licensed under the terms and conditions of the End User License Agreement for the applicable version of the NetIQ product or software to which it relates or interoperates with, and by accessing, copying or using a Module you agree to be bound by such terms. If you do not agree to the terms of the End User License Agreement you are not authorized to use, access or copy a Module and you must destroy all copies of the Module and contact NetIQ for further instructions. Contents About this Book and the Library 13 About NetIQ Corporation 15 1 Introduction 17 1.1 What are DRA and ExA?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .18 1.2 What DRA and ExA Provide . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .18 1.3 How DRA and ExA Help You. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .19 1.3.1 Provide Regulatory Compliance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .19 1.3.2 Maintain Control of Active Directory. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .20 1.3.3 Increase Administration Efficiency. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .20 1.3.4 Reduce Administration Costs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .20 1.3.5 Ensure Data Integrity. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .21 1.4 How DRA and ExA Work . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .21 1.4.1 Presentation Layer. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .22 1.4.2 Business Logic Layer. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .23 1.4.3 Administration Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .23 1.4.4 Data Layer. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .24 1.5 Supported Environments . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .24 1.5.1 Managed and Trusted Domains. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .24 1.5.2 Microsoft Exchange Support . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .24 1.5.3 Departmental Support through Managed Subtrees. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .25 1.5.4 Multiple Administration Servers. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .25 2 Working with the User Interfaces 27 2.1 Web Console . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .28 2.1.1 Starting the Web Console . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .28 2.1.2 Customizing the Web Console. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .28 2.1.3 Configuring Windows Authentication. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .28 2.1.4 Configuring Smart Card Authentication. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .29 2.1.5 Configuring Multi-factor Authentication with NetIQ Advanced Authentication Framework. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .30 2.2 Account and Resource Management Console. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .34 2.3 Delegation and Configuration Console . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .35 2.4 Command-Line Interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .35 2.5 Licensing Affects Available Features. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .36 2.6 Customizing and Extending the User Interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .36 2.6.1 How User Interface Extensions Work . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .36 2.6.2 Supported Custom Pages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .37 2.6.3 Supported User Interface Controls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .38 2.6.4 Accessing the User Interface Extensions Node. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .39 2.6.5 Implementing User Interface Extensions. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .39 2.6.6 Creating User Interface Extensions. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .40 2.6.7 Modifying User Interface Extension Properties . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .41 2.6.8 Identifying Active Directory Attributes Managed With User Interface Extensions . . . . . . . .41 2.6.9 Enabling User Interface Extensions. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .41 2.6.10 Disabling User Interface Extensions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .42 2.6.11 Deleting User Interface Extensions. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .42 2.7 User Interface Tasks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .42 2.7.1 Automatically Logging in to the Web Console with Internet Explorer . . . . . . . . . . . . . . . . .42 Contents 3 2.7.2 Accessing a User’s Change History . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .43 2.7.3 Connecting to an Administration Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .43 2.7.4 Connecting to a Managed Domain or Computer. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .44 2.7.5 Modifying the Console Title . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .44 2.7.6 Customizing List Columns. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .45 2.7.7 Using Custom Tools. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .45 2.7.8 Executing Saved Advanced Queries. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .46 2.7.9 Enabling Collection of Application Logs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .46 2.7.10 Reporting on Object Changes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .46 2.7.11 Reporting on Object Lists. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .47 2.7.12 Reporting on Object Details. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .47 2.7.13 Saving Console Windows . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .48 2.7.14 Saving Custom Console Files . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .48 2.7.15 Restoring Console Settings. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .48 2.7.16 Using Special Characters . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .49 2.7.17 Using Wildcard Characters . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .50 2.7.18 Viewing Your Assigned Powers and Roles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .51 2.7.19 Viewing the Product Version Number and Installed Hotfixes. . . . . . . . . . . . . . . . . . . . . . . .51 2.7.20 Viewing Your Current License . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .51 2.7.21 Upgrading Your License. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .52 2.8 DRA Reporting. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .52 3 Understanding the Dynamic Security Model 55 3.1 What Is Distributed Administration?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .55 3.2 What Is the Dynamic Security Model?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .56 3.2.1 Assistant Admins. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .56 3.2.2 Roles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .57 3.2.3 Powers. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .57 3.2.4 ActiveViews . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .57 3.3 What ActiveViews Provide. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .57 3.3.1 ActiveViews Include Dynamic Sets of Objects. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .58 3.3.2 ActiveViews Include Flexible Rules. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .59 3.4 ActiveViews and Distributed Administration. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .59 3.5 How the Administration Server Processes Requests. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .60 3.6 How Powers Can Increase. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .60 3.7 Understanding How Powers Increase . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .61 3.7.1 Groups in Multiple ActiveViews . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .62 3.7.2 Using Powers in Multiple ActiveViews. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .63 3.7.3 Extending Powers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .63 4 Understanding the Default Security Model 65 4.1 What Is the Default Security Model? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .65 4.2 What Built-in Security Provides . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .65 4.2.1 All Powers for DRA Admins. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .66 4.2.2 Domain Powers for Administrators . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .66 4.2.3 Built-in Delegations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .67 4.3 Understanding Built-in ActiveViews . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .67 4.3.1 Built-in ActiveViews . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .67 4.3.2 Accessing Built-in ActiveViews . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .68 4.3.3 Using Built-in ActiveViews. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .68 4.4 Understanding Built-in Assistant Admin Groups . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .69 4.4.1 Built-in Assistant Admin Groups . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .69 4.4.2 Accessing Built-in Assistant Admin Groups. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .70 4.4.3 Using Built-in Assistant Admin Groups . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .70 4.5 Understanding Built-in Roles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .70 4.5.1 Built-in Roles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .71 4 Directory and Resource Administrator and Exchange Administrator Administrator Guide 4.5.2 Accessing Built-in Roles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .77 4.5.3 Using Built-in Roles. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .77 5 Implementing Advanced Queries 79 5.1 Understanding Advanced Queries. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .79 5.2 How DRA Helps You Manage Advanced Queries . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .79 5.3 Advanced Query on Virtual Attributes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .79 5.4 Advanced Query Management Tasks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .80 6 Implementing Virtual Attributes 81 6.1 Understanding Virtual Attributes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .81 6.2 Virtual Attribute Tasks. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .81 6.3 Accessing The Virtual Attributes Node. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .81 6.3.1 Creating Virtual Attributes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .81 6.3.2 Enabling Virtual Attributes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .82 6.3.3 Associating Virtual Attributes with Objects. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .82 6.3.4 Disassociating Virtual Attributes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .83 6.3.5 Disabling Virtual Attributes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .83 7 Implementing Custom Tools 85 7.1 Understanding Custom Tools. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .85 7.1.1 Sample Custom Tools . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .85 7.2 Understanding File Replication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .86 7.3 Custom Tool Tasks. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .86 7.3.1 Accessing Custom Tools Node . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .86 7.3.2 Creating a Custom Tool. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .87 7.3.3 Modifying Custom Tools Properties. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .87 7.3.4 Enabling a Custom Tool. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .88 7.3.5 Disabling a Custom Tool . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .88 7.3.6 Deleting a Custom Tool . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .88 7.3.7 Uploading Custom Tool Files for Replication. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .88 7.3.8 Replicating Multiple Files Between Administration Servers. . . . . . . . . . . . . . . . . . . . . . . . .89 7.3.9 Replicating Multiple Files to DRA Client Computers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .90 7.3.10 Using a Custom Tool . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .90 8 Implementing OU and Active Directory Administration 93 8.1 How DRA Helps You Manage OUs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .93 8.2 Using ActiveViews to Manage OUs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .93 8.2.1 Using OUs to Create and Maintain ActiveViews . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .93 8.2.2 Built-in Containers in Microsoft Windows Domains. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .94 8.3 OU Management Tasks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .94 9 Implementing User Account Administration 95 9.1 How DRA and ExA Help You Manage User Accounts. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .95 9.2 Using ActiveViews to Manage User Accounts. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .95 9.2.1 User Account Naming Conventions. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .96 9.2.2 Understanding User Account Transfer. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .96 9.2.3 Transferring User Accounts. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .97 9.2.4 Using Group Membership to Create and Maintain ActiveViews . . . . . . . . . . . . . . . . . . . . .97 9.3 User Accounts in Trusted Domains . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .97 9.4 Managing Clone Exceptions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .98 9.4.1 Creating Clone Exceptions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .98 Contents 5 9.4.2 Deleting Clone Exceptions. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .98 9.5 User Account Management Tasks. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .98 10 Implementing Group Administration 99 10.1 How DRA and ExA Help You Manage Groups. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .99 10.2 Using ActiveViews to Manage Groups. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .99 10.2.1 Group Naming Conventions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .100 10.2.2 User-Created Local Groups. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .100 10.3 Groups in Trusted Domains. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .100 10.4 Managing Native Built-in Security Groups . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .101 10.4.1 Native Built-in Security Groups You Can Restrict . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .101 10.4.2 Restricting Actions on Native Built-in Security Groups . . . . . . . . . . . . . . . . . . . . . . . . . . .102 10.5 Managing Group Membership Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .103 10.5.1 Allowing Users to Manage Group Memberships . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .103 10.5.2 Delegating Group Membership Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .103 10.6 Temporary Group Assignments . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .103 10.7 Group Management Tasks. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .104 11 Implementing Resource Administration 105 11.1 How DRA Helps You Manage Resources . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .105 11.2 Using ActiveViews to Manage Resources . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .105 11.2.1 Resource Naming Conventions. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .106 11.2.2 Computers. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .106 11.2.3 Services. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .107 11.2.4 Shares. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .107 11.2.5 Printers and Print Jobs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .108 11.2.6 Published Printers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .108 11.2.7 Connected Users. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .108 11.2.8 Devices . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .109 11.2.9 Open Files. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .109 11.2.10 Event Logs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .109 11.3 Resource Management Tasks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .110 12 Implementing the Recycle Bin 111 12.1 Understanding the Recycle Bin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111 12.2 Accessing the Recycle Bin. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111 12.3 Using the Recycle Bin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .112 12.3.1 Enabling the Recycle Bin. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .113 12.3.2 Disabling the Recycle Bin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .114 13 Enforcing Policy 115 13.1 Understanding Policy. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .115 13.1.1 What Is a Policy?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .115 13.1.2 How the Administration Server Enforces Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .116 13.2 Accessing Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .116 13.3 Creating and Implementing Home Directory Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .117 13.3.1 Administration Server Requirements. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .117 13.3.2 Configuring Home Directory Allowable Paths for NetApp Filers . . . . . . . . . . . . . . . . . . . .118 13.3.3 Understanding Home Directory Policy. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .118 13.3.4 Home Directory Automation and Rules. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .118 13.3.5 Home Share Automation and Rules . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .121 13.3.6 Home Volume Disk Quota Management Rules. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .122 13.4 Home Directory Policy Tasks. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .122 6 Directory and Resource Administrator and Exchange Administrator Administrator Guide 13.4.1 Configuring Home Directory Policies. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .122 13.4.2 Configuring Home Share Policy. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .123 13.4.3 Configuring Home Volume Disk Quota Management Policy . . . . . . . . . . . . . . . . . . . . . . .123 13.5 Implementing Default Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .123 13.5.1 Understanding Built-in Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .124 13.5.2 Available Policies. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .124 13.5.3 Using Built-in Policy. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .126 13.6 Creating and Implementing Microsoft Exchange Policy. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .126 13.6.1 Mailbox Rules . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .127 13.6.2 Automatic Naming Policy. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .127 13.6.3 Office 365 Rules . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .128 13.7 Microsoft Exchange Policy Tasks. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .128 13.7.1 Enabling Microsoft Exchange Support. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .128 13.7.2 Specifying an Automated Mailbox Naming Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .129 13.7.3 Specifying a Resource Naming Policy. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .129 13.7.4 Specifying an Archive Naming Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .129 13.7.5 Specifying a Default Email Address Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .130 13.7.6 Specifying Microsoft Exchange Mailbox Policies. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .130 13.7.7 Specifying Office 365 Mailbox Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .131 13.8 Creating and Implementing Custom Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .131 13.9 Policy Tasks. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .131 13.9.1 Deleting Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .131 13.9.2 Disabling Policies. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .132 13.9.3 Enabling Policies. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .132 13.9.4 Implementing Built-in Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .132 13.9.5 Implementing Custom Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .133 13.9.6 Modifying Policy Properties. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .133 13.9.7 Writing Custom Policy Scripts or Executables. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .134 14 Implementing Your Dynamic Security Model 135 14.1 How to Create a Security Model . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .135 14.1.1 Delegating Administration through a Static Model. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .135 14.1.2 Delegating Administration through a Dynamic Model . . . . . . . . . . . . . . . . . . . . . . . . . . . .136 14.1.3 Understanding Power Creation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .136 14.1.4 Understanding Role Creation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .137 14.1.5 Understanding Assistant Admin Group Creation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .137 14.1.6 Understanding ActiveView Creation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .138 14.1.7 Optimizing Your ActiveView Rules. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .138 14.2 Delegation Management Node . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .139 14.2.1 Accessing Delegation Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .139 14.2.2 Using Delegation Management. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .140 14.3 Allowing Users to Change Personal Information . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .140 14.4 ActiveView Tasks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .140 14.4.1 Adding Managed Objects. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .141 14.4.2 Assigning ActiveViews to Assistant Admins and Roles. . . . . . . . . . . . . . . . . . . . . . . . . . .141 14.4.3 Cloning ActiveViews . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .141 14.4.4 Creating ActiveViews. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .142 14.4.5 Reviewing ActiveViews . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .142 14.4.6 Deleting ActiveViews. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .143 14.4.7 Managing ActiveView Assignments. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .143 14.4.8 Modifying ActiveView Properties . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .144 14.4.9 Specifying a Target Container . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .144 14.4.10 Viewing Managed Objects. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .145 14.4.11 Removing Managed Objects from ActiveViews. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .145 14.5 Assistant Admin Tasks. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .145 14.5.1 Adding Assistant Admin Group Members . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .146 14.5.2 Assigning Assistant Admins to Roles and ActiveViews. . . . . . . . . . . . . . . . . . . . . . . . . . .146 14.5.3 Cloning Assistant Admin Groups. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .146 Contents 7 14.5.4 Creating Assistant Admin Groups . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .147 14.5.5 Deleting Assistant Admin Groups . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .147 14.5.6 Managing Assistant Admin Assignments. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .148 14.5.7 Modifying Assistant Admin Group Properties . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .148 14.5.8 Removing Assistant Admin Assignments . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .148 14.5.9 Viewing Powers and Roles Assigned to an Assistant Admin. . . . . . . . . . . . . . . . . . . . . . .149 14.6 Power Tasks. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .149 14.6.1 Understanding the Power Creation Process . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .149 14.6.2 Creating New Powers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .150 14.6.3 Cloning Powers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .150 14.6.4 Deleting New Powers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .151 14.6.5 Viewing All Power Properties. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .151 14.6.6 Modifying Custom Power Properties. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .151 14.7 Role Tasks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .151 14.7.1 Cloning Roles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .152 14.7.2 Creating Roles. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .152 14.7.3 Deleting Roles. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .152 14.7.4 Managing Role Assignments. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .152 14.7.5 Managing Roles and Powers. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .153 14.7.6 Modifying Role Properties . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .153 15 Implementing Microsoft Exchange Administration 155 15.1 Understanding Microsoft Exchange Management. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .155 15.1.1 Managing Mailboxes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .155 15.1.2 Managing Distribution Groups. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .156 15.1.3 Managing Email Addresses. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .156 15.1.4 Managing Contacts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .157 15.1.5 Managing Resource Mailboxes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .157 15.1.6 Managing Dynamic Distribution Groups . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .157 15.2 Managing Environments Containing Multiple Microsoft Exchange Versions . . . . . . . . . . . . . . . . . .158 15.2.1 Updating and Deleting Mail-Enabled Objects . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .158 15.2.2 Creating and Updating Mailboxes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .159 15.2.3 Moving Mailboxes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .159 15.3 How ActiveViews Simplify Microsoft Exchange Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . .160 15.3.1 Microsoft Exchange Management Tasks. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .160 16 Implementing Microsoft Office 365 Exchange Online Administration 161 16.1 Enabling the Online Policy. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .161 16.2 Creating an Account to Manage Exchange Online . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .161 16.3 Managing an Office 365 Tenant and Creating a Service Principal. . . . . . . . . . . . . . . . . . . . . . . . . .162 16.4 (Optional) Allowing DRA to Manage your Office 365 Licenses . . . . . . . . . . . . . . . . . . . . . . . . . . . .162 16.4.1 Creating a Policy to Enforce Office 365 Licenses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .162 16.4.2 Office 365 License Update Schedule. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .162 17 Customizing the Administration Server 165 17.1 Understanding Administration Server Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .165 17.2 Accessing Configuration Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .165 17.3 Using Administration Server Options. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .166 17.3.1 Encrypted Communications. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .167 17.3.2 Client Options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .167 17.3.3 Resource Cache . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .168 17.3.4 Domain Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .168 17.4 Administration Server Tasks. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .169 17.4.1 Encrypting Communications between the Administration Server and User Interfaces . . .169 17.4.2 Enabling AD Printers Collection. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .169 8 Directory and Resource Administrator and Exchange Administrator Administrator Guide 17.4.3 Setting Client Options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .170 17.4.4 Performing an Immediate Resource Cache Refresh. . . . . . . . . . . . . . . . . . . . . . . . . . . . .170 17.4.5 Scheduling a Resource Cache Refresh. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .170 17.4.6 Performing an Immediate Domain Configuration Refresh. . . . . . . . . . . . . . . . . . . . . . . . .171 17.4.7 Scheduling a Domain Configuration Refresh. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .171 17.5 Managing a Multi-Master Set Environment . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .171 17.5.1 What Is a Multi-Master Set? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .172 17.5.2 Understanding Server Synchronization. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .173 17.5.3 Maintaining the Multi-Master Set. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .174 17.5.4 Disaster Recovery and Location Maintenance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .174 17.6 Multi-Master Tasks. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .174 17.6.1 Adding a Secondary Administration Server. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .175 17.6.2 Demoting a Primary Administration Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .175 17.6.3 Promoting a Secondary Administration Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .175 17.6.4 Removing a Secondary Administration Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .176 17.6.5 Synchronizing a Secondary Server with the Primary Administration Server. . . . . . . . . . .176 17.6.6 Configuring a Refresh Schedule for a Secondary Administration Server . . . . . . . . . . . . .177 17.6.7 Synchronizing a Server Set with the Primary Administration Server. . . . . . . . . . . . . . . . .177 17.6.8 Viewing Administration Server Properties . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .178 17.7 Configuring Managed and Trusted Domains . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .178 17.7.1 Accounts Cache. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .178 17.7.2 Access Account. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .181 17.7.3 Last Logon Statistics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .181 17.8 Domain Tasks. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .181 17.8.1 Adding a Managed Domain. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .181 17.8.2 Adding a Managed Subtree. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .182 17.8.3 Gathering Last Logon Statistics. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .183 17.8.4 Performing a Full Accounts Cache Refresh. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .183 17.8.5 Performing an Incremental Accounts Cache Refresh . . . . . . . . . . . . . . . . . . . . . . . . . . . .184 17.8.6 Removing a Managed Domain . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .184 17.8.7 Removing a Managed Subtree . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .185 17.8.8 Scheduling an Incremental Accounts Cache Refresh . . . . . . . . . . . . . . . . . . . . . . . . . . . .185 17.8.9 Specifying Domain Access Accounts. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .186 17.8.10 Specifying Exchange Access Accounts. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .186 17.8.11 Viewing Domain Statistics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .187 17.8.12 Viewing Last Logon Statistics for a User Account . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .187 17.8.13 Viewing Trusted Domains . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .187 17.9 Office 365 Tenant Tasks. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .187 17.9.1 Adding a Tenant. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .188 17.9.2 Removing a Tenant . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .188 17.9.3 Performing an Office 365 Incremental Accounts Cache Refresh . . . . . . . . . . . . . . . . . . .188 17.9.4 Specifying a Tenant Access Account. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .188 18 Automating Processes 191 18.1 Understanding Automation Triggers. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .191 18.1.1 What Is an Automation Trigger? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .191 18.1.2 How the Administration Server Automates Processes . . . . . . . . . . . . . . . . . . . . . . . . . . .191 18.1.3 What Is the ADSI Provider?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .192 18.2 Accessing Automation Triggers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .192 18.3 Using Automation Triggers. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .193 18.3.1 Defining an Automation Trigger Workflow. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .193 18.3.2 Creating a New Automation Trigger. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .193 18.4 Automation Tasks. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .194 18.4.1 Deleting Automation Triggers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .194 18.4.2 Disabling Automation Triggers. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .194 18.4.3 Enabling Automation Triggers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .194 18.4.4 Implementing Automation Triggers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .195 18.4.5 Modifying Automation Trigger Properties. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .195 Contents 9 18.4.6 Writing Automation Trigger Scripts or Executables . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .196 19 Auditing and Reporting 197 19.1 How DRA Uses Log Archives . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .197 19.1.1 Enabling and Disabling Windows Event Log Auditing for DRA. . . . . . . . . . . . . . . . . . . . .197 19.1.2 Ensuring Auditing Integrity. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .198 19.1.3 Understanding Log Archives . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .199 19.2 Managing Data Collection for Reporting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .201 19.3 Reporting Configuration Tasks. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .201 19.3.1 Enabling Reporting and Data Collection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .201 19.3.2 Configuring the Active Directory Collector. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .202 19.3.3 Configuring the DRA Collector. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .202 19.3.4 Configuring the Office 365 Tenant Collector . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .203 19.3.5 Configuring the Management Reports Collector . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .203 19.3.6 Viewing the Collectors Status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .203 A The Command-Line Interface 205 A.1 Understanding the CLI. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .205 A.1.1 CLI Syntax. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .205 A.1.2 Embedded Spaces and Quotes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .206 A.1.3 Date and Time Format. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .206 A.1.4 Wildcard Characters and Naming Restrictions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .206 A.1.5 Special Terms . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .206 A.1.6 Special Functions and Variables. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .207 A.1.7 Special Operators and Prefixes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .208 A.1.8 Return Codes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .208 A.2 CLI Commands . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .209 A.2.1 AA Command . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .209 A.2.2 ACCOUNT Command. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .212 A.2.3 AV Command . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .214 A.2.4 CACHE Command. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .218 A.2.5 DOMAIN Command. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .221 A.2.6 EXEC Command. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .222 A.2.7 GROUP Command . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .224 A.2.8 INFO Command. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .228 A.2.9 ROLE Command. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .229 A.2.10 SERVER Command . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .231 A.2.11 USER Command. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .232 A.2.12 WHOAMI Command . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .240 B Available Utilities 243 B.1 Diagnostic Utility. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .243 B.1.1 Accessing the Diagnostic Utility. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .243 B.1.2 Understanding the Diagnostic Information. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .243 B.1.3 Configuring Log Settings. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .245 B.1.4 Collecting Diagnostic Information . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .245 B.1.5 Viewing APJS Diagnostics. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .246 B.1.6 Viewing Lock Diagnostics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .246 B.1.7 Finding Specific Log Files . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .246 B.2 Deleted Objects Utility . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .247 B.2.1 Required Permissions for Deleted Objects Utility . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .247 B.2.2 Syntax for Deleted Objects Utility . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .247 B.2.3 Options for Deleted Objects Utility. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .248 B.2.4 Examples for Deleted Objects Utility. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .248 B.3 Recycle Bin Utility . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .249 10 Directory and Resource Administrator and Exchange Administrator Administrator Guide