Назад |
Перейти на главную страницу
SharePoint 2010 Profile-User-Sync не выполняет экспорт административных объектов
Наша текущая ситуация:
- наша ферма содержит два DC, один SP 2010 и один сервер EX 2010
- SharePoint работает нормально
- служба User-Profile-Synchronization-service запущена и работает, AD-импорт выполнен хорошо
Что бы мы хотели сделать:
- экспортировать данные об объекте пользователя в AD (например, thumbnailPhoto)
Что мы сделали:
- мы добавили все требования к разрешениям в синхронизирующую системную учетную запись пользователя (запись объектов, создание объектов, репликация каталога и доступ до win2000)
Что случается:
Экспорт объектов не выполняется на админ-аккаунтах. Исследование с помощью «Synchronization Service Manager на SP» (miisclient.exe) показывает «завершенный экспорт-ошибка» во время «DS_EXPORT». Копание сообщает нам «Ошибка: проблема с разрешением», разрешений недостаточно.
Что нам нужно сделать, чтобы установить разрешения AD для учетной записи синхронизации, чтобы иметь возможность записывать атрибуты наших учетных записей администраторов?
На данный момент мы решили решить "проблему" обходным путем, добавив дополнительные учетные записи пользователей для каждого администратора.
Зачем мы это делаем? Сначала я хотел бы отметить, что у меня есть некоторые проблемы с добавлением дополнительных административных разрешений в учетную запись службы экспорта. Похоже, это плохая идея предоставлять этой учетной записи такую большую власть над активным каталогом, чтобы даже манипулировать учетными записями администратора в целом. Другой способ - отрегулировать «административные флаги», которые, кажется, запрещают изменения административных объектов в целом (если администратор не является манипулятором). Я думаю, это тоже плохая идея, поскольку это предоставит сервису полную мощность и для учетных записей администратора, и мы можем повлиять на дополнительные сервисы, которые полагаются на эти флаги для правильной работы.
Поскольку мы приняли это решение, теперь нам нужно перенести статус фермы в «новую» ситуацию. Это не так тривиально, поэтому я хотел бы поделиться нашим текущим рабочим процессом, на случай, если кто-то должен сделать то же самое:
Создание дополнительных учетных записей пользователей для администратора в SharePoint / Exchange-Farm (если вы раньше работали с административными учетными записями)
Это решение направлено на передачу имени пользователя-администратора новому и обычному объекту-пользователю.
- Добавьте правила-фильтры к вашему подключению-синхронизации-профиля-пользователя (извините - переведено с немецкого), которые избегают синхронизации "новых" учетных записей администратора. Кажется хорошей идеей полагаться на этот набор правил на атрибут
adminCount больше или похоже на 1. - Переименуйте учетную запись администратора и имя для входа в «новую» схему именования для администраторов.
- Создайте новый пользовательский объект, следуя предпочтительной схеме именования для пользователей.
- Отключите exchange-почтовый ящик администратора. Будьте осторожны не случайно удалите принадлежащий AD-аккаунт, удалив почтовый ящик!
- Создайте новый почтовый ящик Exchange для нового пользователя (я советую делать это только в том случае, если почтовый ящик ранее не использовался). В качестве альтернативы вы можете попытаться повторно подключить административный почтовый ящик к новому пользователю. Что пока не работает в нашей установке.
- Проверьте правильность статуса синхронизации конкретного профиля в сервисе синхронизации профилей пользователей, вам, вероятно, придется удалить «старый» профиль пользователя администратора, чтобы сервис профилей правильно переподключился к новому пользователю.
- Не забудьте обеспечить правильные уровни авторизации на сайтах SharePoint.