У меня есть установка Sharepoint 2007 и несколько доменов Active Directory. Теперь, поскольку у меня не может быть пользователя из домена A в группе безопасности в домене B, мне нужно создать группы в Sharepoint, чтобы включить необходимых пользователей.
Я мог бы просто поместить группы безопасности AD в группы Sharepoint, но у нас были проблемы с этим подходом при смешивании его с аудитом, поэтому я хочу, чтобы группы Sharepoint содержали отдельных пользователей, а не группы безопасности AD.
Но что-то в этом "кажется" неправильным. Некоторые группы содержат тысячу пользователей и более, и я чувствую, что не буду усложнять вещи и добавлять дополнительную нагрузку на обслуживание.
Как это делается в других компаниях? Как вы управляете своими группами Sharepoint в многодоменной среде?
Вы правы ... из коробки наличие групп SharePoint с тысячами (или даже сотнями) отдельных пользователей станет кошмаром для администрации.
К сожалению, SharePoint не синхронизирует пользователей AD с AD (профили, да. Пользователи, нет), поэтому после того, как вы вручную добавили пользователя в группу SharePoint или вручную предоставили разрешения отдельному пользователю, они останутся в Sharepoint для всех. время (пока вы не удалите их вручную), даже если вы удалите этого пользователя из AD.
Если вы назначаете разрешения группам SharePoint, содержащим группы AD, вы получаете преимущество, заключающееся в том, что после удаления пользователя из AD у него больше не будет разрешений в SharePoint. Намного проще управлять членством в группе в одном месте (с хорошими инструментами), чем дважды управлять членством в группе.
Короче говоря, я бы посоветовал попытаться выяснить проблему, с которой вы сталкиваетесь с аудитом, прежде чем предлагать разместить тысячу пользователей в группах SharePoint. Если вам абсолютно необходимо это сделать, не делайте этого с помощью готовых инструментов ... инвестируйте в администратора сайта Qests для SharePoint (http://www.quest.com/site-administrator-for-sharepoint/)
У нас тысячи и тысячи пользователей. Мы используем группы AD и НЕ помещаем отдельных пользователей в SharePoint (если только это не небольшой сайт отдела, и отдел отвечает за управление правами пользователей).
Мы видели, как поисковая система перестает правильно индексировать списки управления доступом, когда вы добавляете более 2000 отдельных пользователей в семейство сайтов SharePoint.