Назад | Перейти на главную страницу

Управление разрешениями SharePoint через Active Directory?

В моей компании тысячи сотрудников тщательно организованы с помощью Active Directory. Я уверен в точности информации об отделе и должности, отображаемой в профилях пользователей.

Я помогаю создать новый сайт SharePoint 2007 и связался с ИТ по поводу управления разрешениями сайта через группы AD. Цель состоит в том, чтобы сайт автоматически назначал права на чтение / запись / участие / любые другие разрешения на основе информации в AD.

Например, мы могли бы создать группу AD под названием «Менеджеры», которая будет содержать всех, у кого есть заголовок «Менеджер» в их профиле пользователя AD. Я бы попросил SharePoint подключиться к этой группе AD для массового назначения разрешений, если бы я знал, что всем менеджерам потребуется определенный уровень доступа (чтение / запись / участие / что угодно). Затем, если менеджер присоединяется к компании или покидает ее, группа автоматически обновляется (конечно, при условии обновления AD).

Мой ИТ-представитель перезвонил и сказал, что это невозможно. Это кажется довольно простым бизнес-требованием и одним из огромных преимуществ Active Directory, но, возможно, я ошибаюсь.

Может ли кто-нибудь пролить свет на это?

A) Можно ли использовать динамически обновляемые группы AD при назначении разрешений через SharePoint? (Кто-нибудь знает руководство, которое я мог бы показать своему сомнительному ИТ-представителю?)

Б) Есть ли лучший способ сделать это? Я читал некоторые дискуссии о том, подходят ли группы SharePoint или группы AD. Моя главная забота - динамическое обновление.

C) Если это недоступно из коробки, может ли кто-нибудь порекомендовать стороннее программное обеспечение, которое обеспечит функциональность, которую я ищу?

Большое спасибо всем, кто может мне помочь !!

Если у вас есть группа AD «Менеджер», установленная в качестве определенного разрешения в SharePoint, то этот уровень разрешений будет заполняться для всех пользователей, входящих в эту группу. Любые менеджеры, добавленные в группу AD, будут практически немедленно распространяться на связанные разрешения. Проблема заключается в том, что вы хотели бы разделить разрешения на основе данных из AD, кроме данных самой группы.

Группы AD - лучший вариант. Их можно легко обновлять, легко отслеживать в AD, и SharePoint не обязательно отслеживать всех пользователей. Просто назначьте группе AD уровень разрешений для семейства сайтов, сайта, списка, папки или документа.

Такие «группы поиска» в настоящее время нельзя создавать в Active Directory.

Тем не менее, вы можете подделать его с помощью сценариев и пакетной обработки. Это не будет в реальном времени, но вы туда доберетесь. Мы используем аналогичный процесс для создания групп на основе кода сотрудника (E1, E5 и тому подобное). Он берет экспорт из нашей кадровой системы и изменяет группы на основе этого экспорта. Ходит раз в сутки.


Обновить:

Вы можете сделать довольно простую версию этого с помощью инструментов, доступных в WinXP и выше:

dsquery * -filter (& (objectClass = Пользователь) (отдел = Услуги)) -Limit 5000 | dsmod group "CN = grp.departments.Facilities, OU = DepGroups, DC = Your, DC = Domain, DC = Here" -addmbr

Это будет запрашивать DS для всех пользовательских объектов с отделом, установленным на «Услуги» ( dsquery * часть) и передайте его в команду, которая изменит членство в "grp.departments.facilities" информацией, возвращаемой запросом ( dsmod group часть). Вам нужно будет сделать одну версию этого для каждого отдела, но это будет делать то, что вы ищете.