Настройка синхронизации профилей с помощью импорта Active Directory для SharePoint в SharePoint Server

  • Статья

ОБЛАСТЬ ПРИМЕНЕНИЯ:yes-img-132013 yes-img-162016 yes-img-192019 yes-img-seSubscription Edition no-img-sopSharePoint в Microsoft 365

Вы можете использовать параметр импорта SharePoint Active Directory (импорт AD) в качестве альтернативы использованию Microsoft Identity Manager (MIM) для импорта данных профиля пользователя из доменные службы Active Directory (AD DS) в вашем домене.

Операции импорта, использующие импорт AD, выполняются гораздо быстрее, чем операции, использующие MIM. Однако импорт AD работает только с доменные службы Active Directory (AD DS) и не работает с другими службами каталогов. Кроме того, если вы решили использовать импорт AD, MIM или другие внешние диспетчеры удостоверений недоступны для подключений к другим источникам данных, таким как бизнес-приложения.

Для выполнения процедуры, описанной в статье, необходимо быть участником группы администраторов фермы. Для настройки подключения также требуются учетные данные домена с разрешениями синхронизации.

Примечание.

MIM — это внешний поставщик, доступный только в SharePoint Server 2016 и SharePoint Server 2019.

Сведения о синхронизации профилей пользователей для SharePoint в Microsoft 365.

Ситуации, не поддерживаемые импортом AD

Прежде чем принимать решение о том, использовать ли средство импорта AD, рассмотрите следующие ситуации и обратите внимание на функции, которые это средство не поддерживает:

  • Средство импорта AD не выполняет двунаправленную синхронизацию. Это значит, что изменения, сделанные в профилях пользователей SharePoint, не будут синхронизированы обратно в контроллер домена.

  • Целостность данных между пользователями и группами поддерживается только в одном лесу Active Directory.

  • Средство импорта AD позволяет настроить и использовать только одно сопоставление свойств уровня фермы.

  • Параметр импорта AD не синхронизирует фотографии из Active Directory в SharePoint Server 2016 автоматически.

  • Средство импорта AD не поддерживает универсальные (не AD) источники LDAP.

  • Средство импорта AD не поддерживает обнаружение схемы источника.

  • Средство импорта AD не поддерживает сценарии с несколькими лесами, например:

    • При наличии доверия между двумя лесами объекты доверенного леса не будут импортированы.

    • Импорт AD поддерживает импорт пользователей из нескольких доменов при условии, что вы создаете одно подключение синхронизации для каждого домена. В качестве альтернативы рассмотрите возможность использования Microsoft Identity Manager.

  • Средство импорта AD не поддерживает объекты Contact (также известные как межобъектные указатели).

  • Средство импорта AD не поддерживает классы настраиваемых объектов, за исключением User и Group.

  • Средство импорта AD не поддерживает фильтрацию пользовательского интерфейса для создания сложных логических выражений.

  • Средство импорта AD не поддерживает фильтрацию объектов на основании значений их свойств (необходимо использовать простые фильтры LDAP).

  • Параметр импорта AD не обеспечивает поддержку входа и леса ресурсов. То есть пользовательские соединения данных из нескольких источников.

  • Средство импорта AD не поддерживает импорт Business Connectivity Services.

  • Средство импорта AD не поддерживает сопоставление свойств сложных типов, таких как изображения и специальные типы AD.

  • Средство импорта AD не поддерживает экспорт данных из SharePoint в каталоги-источники.

  • Параметр импорта AD не поддерживает обновление или преобразование подключений на основе FIM или синхронизацию конфигурации с импортом AD (или в обратном порядке).

  • Средство импорта AD не гарантирует, что у каждого свойства объекта будет один владелец (в настоящее время преимущество имеет последний, кто выполнил запись).

  • Средство импорта AD не выполняет сопоставление свойств по клиентам.

Настройка импорта SharePoint Active Directory

Для настройки импорта AD следует выполнить в центре Центр администрирования три процедуры.

В первой процедуре вы настроите SharePoint Server для использования импорта AD вместо внешнего диспетчера удостоверений, например MIM.

Во второй процедуре создается подключение синхронизации к AD DS. Подключение определяет элементы для синхронизации и содержит учетные данные, используемые для взаимодействия с AD DS.

В третьей процедуре вы определяете, как свойства профилей пользователей в SharePoint Server сопоставляются со сведениями о пользователе, полученными из AD DS.

Настройка SharePoint Server для использования импорта AD

  1. В разделе Управление приложениями веб-сайта Веб-сайт центра администрирования SharePoint щелкните Управление приложениями-службами.

  2. На странице Управление приложениями-службами щелкните ссылку приложения службы профилей пользователей.

  3. На странице Управление службой профилей в разделе Синхронизация нажмите Настройка параметров синхронизации.

  4. На странице Настройка параметров синхронизации в разделе Параметры синхронизации выберите параметр Использовать импорт SharePoint Active Directory и нажмите кнопку ОК.

Для импорта профилей необходимо хотя бы одно подключение синхронизации к AD DS. Можно использовать подключения к нескольким серверам AD DS. С помощью следующей процедуры создайте подключение синхронизации к каждому серверу AD DS, с которого требуется импортировать профили. Проводить синхронизацию можно после создания каждого подключения или сразу после создания всех подключений. Хотя синхронизация после каждого подключения занимает больше времени, процесс упрощает устранение любых проблем, которые могут возникнуть.

Создание подключения к службе каталогов для импорта

  1. В разделе Управление приложениями веб-сайта Веб-сайт центра администрирования SharePoint щелкните Управление приложениями-службами.

  2. На странице Управление приложениями-службами щелкните ссылку приложения службы профилей пользователей.

  3. На странице Управление службой профилей в разделе Синхронизация нажмите Настройка подключений для синхронизации.

  4. На странице Подключения синхронизации нажмите Создать подключение.

  5. На странице Добавление нового подключения синхронизации введите имя подключения синхронизации в поле Имя подключения.

  6. В списке Тип выберите Импорт Active Directory.

  7. Заполните поля в разделе Параметры подключения, выполнив следующие действия:

    1. В поле Полное доменное имя введите полное доменное имя домена.

    2. В поле Тип поставщика проверки подлинности выберите тип поставщика проверки подлинности.

    3. Если вы выбрали Проверка подлинности с помощью форм или Проверка подлинности надежного поставщика утверждений, выберите поставщика проверки подлинности из поля Экземпляр поставщика проверки подлинности.

      В поле Экземпляр поставщика проверки подлинности перечисляются только те поставщики проверки подлинности, которые используются сейчас веб-приложением.

    4. В поле Имя учетной записи введите имя учетной записи, которую будет использовать средство импорта AD для выполнения синхронизации. Используйте форму <DOMAIN>\ <UserName>. Учетная запись синхронизации должна иметь разрешения репликации каталога в корне леса.

    5. В полях Пароль и Подтверждение пароля введите пароль для учетной записи.

    6. В поле Порт укажите порт подключения, который должен использоваться средством синхронизации AD для подключения к AD DS при синхронизации.

    7. Если для подключения к службе каталогов требуется протокол SSL, установите флажок Использовать SSL-подключение:.

      Важно!

      При использовании SSL-подключения необходимо экспортировать сертификат контроллера домена с сервера AD DS и импортировать сертификат на сервер синхронизации, если SSL-сертификат не является доверенным для серверов SharePoint.

    8. Если вы хотите отфильтровать пользователей, отключенных в AD DS, установите флажок Отфильтровать отключенных пользователей .

    9. Если нужно фильтровать объекты, импортируемые из службы каталогов, введите в поле Фильтр в синтаксисе LDAP для импорта Active Directory стандартное выражение запроса LDAP, чтобы задать фильтр.

    10. В разделе Контейнеры нажмите Заполнить контейнеры и выберите контейнеры из службы каталогов для синхронизации. Все выбранные вами подразделения будут синхронизированы со своими дочерними подразделениями. В настоящее время нет служебной программы, позволяющей выбирать родительское подразделение и при этом исключать какое-либо из его дочерних подразделений из синхронизации.

      Примечание.

      Фильтрация объектов происходит только во время первоначального импорта этого объекта. Изменения фильтра после импорта не повлияют на уже импортированные объекты.

    11. Нажмите кнопку ОК.

      Вновь созданное подключение отображается в списке на странице Подключения синхронизации.

      Совет

      На странице Подключения синхронизации можно щелкнуть имя подключения синхронизации, а затем нажать кнопку Изменить или Удалить , чтобы изменить или удалить подключение.

Сопоставление свойств профилей пользователей

  1. В разделе Управление приложениями веб-сайта Веб-сайт центра администрирования SharePoint щелкните Управление приложениями-службами.

  2. На странице Управление приложениями-службами щелкните ссылку для приложения службы профилей пользователей.

  3. На странице Служба управления профилями в разделе Люди выберите Управление свойствами пользователей.

  4. На странице Управление свойствами пользователя щелкните имя свойства, которое нужно сопоставить с атрибутом службы каталогов, и нажмите кнопку Изменить.

  5. Для удаления существующего сопоставления выберите в разделе Сопоставление свойств для синхронизации сопоставление, которое нужно удалить, и затем щелкните Удалить.

  6. Чтобы добавить новое сопоставление, выполните следующие задачи:

    1. В разделе Добавление нового сопоставления в списке Подключение к исходным данным выберите подключение к данным, представляющее службу каталогов, с которой требуется сопоставить свойство профиля пользователя.

    2. В поле Атрибут введите имя атрибута службы каталогов, с которым нужно сопоставить свойство.

    3. Нажмите кнопку Добавить.

      Примечание.

      Нельзя добавлять несколько сопоставлений или изменять сопоставление. Чтобы изменить настройки сопоставления для свойства, необходимо сначала удалить существующее сопоставление, а затем создать новое сопоставление.

  7. Нажмите кнопку ОК.

  8. Повторите шаги 4–7, чтобы сопоставить дополнительные свойства.

Запуск синхронизации профилей

  1. В разделе Управление приложениями веб-сайта Веб-сайт центра администрирования SharePoint щелкните Управление приложениями-службами.

  2. На странице Управление приложениями-службами выберите ссылку приложения службы профилей пользователей.

  3. В разделе Синхронизация страницы управления службой профилей щелкните пункт Запуск синхронизации профилей.

  4. На странице Запуск синхронизации профилей выберите Запустить полную синхронизацию для первой синхронизации или если вы добавили или изменили какие-либо подключения синхронизации с момента последней синхронизации. Выберите Начать добавочную синхронизацию, чтобы синхронизировать только данные, которые были изменены со времени последней синхронизации.

  5. Нажмите кнопку ОК.

    Отобразится страница Служба управления профилями со статусом синхронизации профиля в правой области.

См. также

Концепции

Управление синхронизацией профилей пользователей в SharePoint Server

Планирование синхронизации профилей для SharePoint Server 2013

Синхронизация профилей пользователей и групп в SharePoint Server 2013

Планирование синхронизации профилей в SharePoint Server

Другие ресурсы

Update-SPProfilePhotoStore