В моей компании тысячи сотрудников тщательно организованы с помощью Active Directory. Я уверен в точности информации об отделе и должности, отображаемой в профилях пользователей.
Я помогаю создать новый сайт SharePoint 2007 и связался с ИТ по поводу управления разрешениями сайта через группы AD. Цель состоит в том, чтобы сайт автоматически назначал права на чтение / запись / участие / любые другие разрешения на основе информации в AD.
Например, мы могли бы создать группу AD под названием «Менеджеры», которая будет содержать всех, у кого есть заголовок «Менеджер» в их профиле пользователя AD. Я бы попросил SharePoint подключиться к этой группе AD для массового назначения разрешений, если бы я знал, что всем менеджерам потребуется определенный уровень доступа (чтение / запись / участие / что угодно). Затем, если менеджер присоединяется к компании или покидает ее, группа автоматически обновляется (конечно, при условии обновления AD).
Мой ИТ-представитель перезвонил и сказал, что это невозможно. Это кажется довольно простым бизнес-требованием и одним из огромных преимуществ Active Directory, но, возможно, я ошибаюсь.
Может ли кто-нибудь пролить свет на это?
A) Можно ли использовать динамически обновляемые группы AD при назначении разрешений через SharePoint? (Кто-нибудь знает руководство, которое я мог бы показать своему сомнительному ИТ-представителю?)
Б) Есть ли лучший способ сделать это? Я читал некоторые дискуссии о том, подходят ли группы SharePoint или группы AD. Моя главная забота - динамическое обновление.
C) Если это недоступно из коробки, может ли кто-нибудь порекомендовать стороннее программное обеспечение, которое обеспечит функциональность, которую я ищу?
Большое спасибо всем, кто может мне помочь !!
Если у вас есть группа AD «Менеджер», установленная в качестве определенного разрешения в SharePoint, то этот уровень разрешений будет заполняться для всех пользователей, входящих в эту группу. Любые менеджеры, добавленные в группу AD, будут практически немедленно распространяться на связанные разрешения. Проблема заключается в том, что вы хотели бы разделить разрешения на основе данных из AD, кроме данных самой группы.
Группы AD - лучший вариант. Их можно легко обновлять, легко отслеживать в AD, и SharePoint не обязательно отслеживать всех пользователей. Просто назначьте группе AD уровень разрешений для семейства сайтов, сайта, списка, папки или документа.
Такие «группы поиска» в настоящее время нельзя создавать в Active Directory.
Тем не менее, вы можете подделать его с помощью сценариев и пакетной обработки. Это не будет в реальном времени, но вы туда доберетесь. Мы используем аналогичный процесс для создания групп на основе кода сотрудника (E1, E5 и тому подобное). Он берет экспорт из нашей кадровой системы и изменяет группы на основе этого экспорта. Ходит раз в сутки.
Обновить:
Вы можете сделать довольно простую версию этого с помощью инструментов, доступных в WinXP и выше:
dsquery * -filter (& (objectClass = Пользователь) (отдел = Услуги)) -Limit 5000 | dsmod group "CN = grp.departments.Facilities, OU = DepGroups, DC = Your, DC = Domain, DC = Here" -addmbr
Это будет запрашивать DS для всех пользовательских объектов с отделом, установленным на «Услуги» ( dsquery *
часть) и передайте его в команду, которая изменит членство в "grp.departments.facilities" информацией, возвращаемой запросом ( dsmod group
часть). Вам нужно будет сделать одну версию этого для каждого отдела, но это будет делать то, что вы ищете.