Я только что завершил разработку сайта SharePoint на виртуальном сервере и в настоящее время нахожусь в процессе предоставления доступа к сайту пользователям из другого домена. Я разработчик, а не сетевой администратор. Виртуальный сервер не является контроллером домена и не имеет установленной службы каталогов Active Directory. Домен SharePoint - SHAREPOINT, а домен с пользователями, которым я хочу предоставить доступ, - это КОМПАНИЯ. Они подключены по локальной сети. Я предоставил им ссылку на сайт и добавил их как пользователей через SharePoint и SQL Server, и это все, что я думал, что мне нужно будет сделать. Однако, когда они переходят по ссылке, сайт показывает им страницу с ошибкой SharePoint, сообщающую, что доступ запрещен. Проблема сводится к настраиваемой веб-части для SharePoint. Если я удалю эту веб-часть со страницы индекса, они смогут получить к ней доступ.
В журнале событий безопасности я показываю следующее:
Event Type: Failure Audit
Event Source: Security
Event Category: Object Access
Event ID: 560
Date: 3/18/2010
Time: 11:11:49 AM
User: COMPANY\ThisUser
Computer: SHAREPOINT
Description:
Object Open:
Object Server: Security Account Manager
Object Type: SAM_ALIAS
Object Name: DOMAINS\Account\Aliases\00000404
Handle ID: -
Operation ID: {0,1719489}
Process ID: 416
Image File Name: C:\WINDOWS\system32\lsass.exe
Primary User Name: SHAREPOINT$
Primary Domain: COMPANY
Primary Logon ID: (0x0,0x3E7)
Client User Name: ThisUser
Client Domain: PRINTRON
Client Logon ID: (0x0,0x1A3BC2)
Accesses: AddMember
RemoveMember
ListMembers
ReadInformation
Privileges: -
Restricted Sid Count: 0
Access Mask: 0xF
Затем четыре из них подряд:
Event Type: Failure Audit
Event Source: Security
Event Category: Object Access
Event ID: 560
Date: 3/18/2010
Time: 11:12:08 AM
User: NT AUTHORITY\NETWORK SERVICE
Computer: SHAREPOINT
Description:
Object Open:
Object Server: SC Manager
Object Type: SERVICE OBJECT
Object Name: WinHttpAutoProxySvc
Handle ID: -
Operation ID: {0,1727132}
Process ID: 404
Image File Name: C:\WINDOWS\system32\services.exe
Primary User Name: SHAREPOINT$
Primary Domain: COMPANY
Primary Logon ID: (0x0,0x3E7)
Client User Name: NETWORK SERVICE
Client Domain: NT AUTHORITY
Client Logon ID: (0x0,0x3E4)
Accesses: Query status of service
Start the service
Query information from service
Privileges: -
Restricted Sid Count: 0
Access Mask: 0x94
Есть идеи, какие разрешения мне нужно предоставить пользователю, чтобы получить доступ к SharePoint?
У меня есть один пользователь из другого домена, который может нормально просматривать страницу. Для этого пользователя я дал ему права на то, как я могу сравнить этого пользователя с другими пользователями и посмотреть, какие разрешения, возможно, нужно добавить?
Вам потребуется установить доверительные отношения между доменами (я предполагаю, что они не находятся в одном дереве / лесу).
Чтобы Sharepoint мог предоставлять разрешения пользователям из другого домена, ему необходимо доверять аутентификации этого домена.
Если они не находятся в одном лесу, установите между ними внешнее доверие (SHAREPOINT доверяет КОМПАНИИ) в доменах и доверительных отношениях Active Directory.
У вас есть еще несколько вариантов в дополнение к упомянутым выше.
Вот отличный пост в блоге, в котором обсуждается первый вариант:
http://blogs.msdn.com/sharepoint/archive/2006/08/16/configuring-multiple-authentication-providers-for-sharepoint-2007.aspx
Я также считаю, что доверительные отношения между доменами - это хорошая идея для вашей задачи. У меня есть успешный опыт с этим: в моем случае у каждого домена был свой интранет-портал на основе MOSS 2007. Необходимо было предоставить доступ к обоим порталам для пользователей из обоих доменов. Мы создали двусторонние доверительные отношения между лесами и предоставили все необходимые разрешения. Мой env стандартный: AD, 2003, MOSS 2007.
На мой взгляд, есть еще два метода. Наверное, они вам подойдут лучше:
Вы можете смешивать эти два метода. Допустим, вы можете предоставить анонимный доступ для чтения всем и создать несколько учетных записей в своем домене для пользователей, которым нужны права участника на портале интрасети.
Ладно. наконец, я нашел статью и она мне сразу помогла ...
Went to "Virtual Network Editor" from my host computer (found under VMWare menu)
Change the IP address for the NAT subnet ip to 192.168.10.0
Followed the article above for more on NAT settings
Бинго ... Теперь я могу делать portal.spplay.com с моего хост-компьютера.