在 SharePoint Server 2013 中同步用户和组配置文件

 

**上一次修改主题:**2018-02-28

**摘要:**了解如何使用SharePoint Server 2013配置文件同步方法同步用户和组的配置文件信息。

配置配置文件同步 (或配置文件同步) 是一个涉及很多步骤的过程。这篇文章将过程分成较短的阶段,同时,以便您可以看到进度和减少您需要通过该回溯如果做出错误的步骤数。有四个阶段配置配置文件同步。根据您的具体情况,您可能不必执行所有阶段。这篇文章还包括 0 阶段,其中包含用于配置在配置配置文件同步之前所需的前提条件的说明。

SharePoint Server 2013通过服务器的身份验证访问和请求资源相互代表用户使用用户配置文件和组。有关服务器的身份验证的详细信息,请参阅SharePoint Server 中的服务器到服务器身份验证和用户配置文件

重要

本文适用于仅SharePoint Server 2013。

本文内容:

  • 开始之前

  • 阶段 0:配置服务器场

  • 阶段 1:启动用户配置文件同步服务

  • 阶段 2:配置连接并从目录服务导入数据

  • 阶段 3:配置连接并从业务系统导入数据

  • 阶段 4:配置连接并将数据导出到目录服务

开始之前

在开始此操作之前,请查看有关先决条件的以下信息:

当配置配置文件同步时,您将需要信息来回答用户界面中。您还需要具有相应的权限,并已部分配置了SharePoint Server 2013场帐户。在本部分中的相应子部分介绍了系统必备组件,您必须配置配置文件同步之前。

收集信息

执行本文中的过程之前,应先填写 SharePoint Server 2013 的用户配置文件属性和配置文件同步计划工作表。执行本文中的过程时需要使用在工作表中记录的信息。

您将需要知道同步服务器的名称。同步服务器是将运行用户配置文件同步服务的服务器。为 SharePoint Server 2013 规划配置文件同步 中的规划同步服务器一节包含有关如何选择同步服务器的指南。

授予帐户权限

若要对配置文件同步进行配置,您需要知道服务器场帐户和服务器场帐户的密码,还需要将与其同步的每个目录服务的同步帐户。为 SharePoint Server 2013 规划配置文件同步 中的规划帐户权限一节介绍了每个帐户所需的权限。如果帐户没有正确的权限,则您可能在进行到配置过程的某一阶段时才会发现权限是错误的。

备注

不正确的权限是导致对配置文件同步进行配置时出现错误的最常见原因。

安装系统必备组件

要设置配置文件同步,您将需要SharePoint Server 2013安装在服务器场配置。

您必须具有完整的SQL Server,没有速成版安装。配置文件同步不起作用如果您已经在在包含内置数据库的单个服务器上安装 SharePoint 2013中的说明安装SharePoint Server 2013 。

阶段 0:配置服务器场

在此阶段,将配置用于同步配置文件的基础结构。

此阶段涉及以下任务:

  1. 创建 Web 应用程序以承载"我的网站"

  2. 为"我的网站"创建管理路径

  3. 创建"我的网站宿主"网站集

  4. 创建 User Profile Service 应用程序

  5. 启用 NetBIOS 域名

  6. 启动 User Profile Service

若要在此阶段中执行的任务,您必须是服务器场管理员 SharePoint 组的成员并运行SharePoint Server 2013的计算机上管理员组的成员。

创建 Web 应用程序以承载My Sites

在此过程中,您可以创建 web 应用程序My Sites将驻留在其中。我们建议,尽管 web 应用程序可能与其他协作网站,共享应用程序池My Sites是在单独的 web 应用程序,或者它可能会在单独的应用程序池但共享的IIS网站中。有关SharePoint Server 2013站点、 应用程序池和IIS网站的详细信息,请参阅SharePoint 2013 IT 专业人员使用的体系结构设计。有关如何创建 web 应用程序的详细说明,请参阅在 SharePoint 服务器中创建 web 应用程序

创建 Web 应用程序的具体步骤

  1. 确认执行此过程的用户帐户拥有以下凭据:

    • 执行此过程的用户帐户是服务器场管理员。

    • 执行此过程的用户帐户是运行SharePoint Server 2013的计算机上管理员组的成员。

  2. 在管理中心的"应用程序管理"部分,单击"管理 Web 应用程序"。

  3. 在功能区上,单击"新建"。

  4. 在"新建 Web 应用程序"页的"身份验证"部分,选择将用于此 Web 应用程序的身份验证模式。

  5. 在"IIS 网站"部分,可以通过选择以下两个选项之一来配置新 Web 应用程序的设置(请参阅"配置文件同步规划"工作表):

    • 单击"使用现有 IIS 网站",然后选择要安装新 Web 应用程序的网站。

    • 单击"新建 IIS 网站",然后在"名称"框中键入网站名称。

      您还可以提供端口号、主机头或新 IIS 网站的路径。

  6. 在"安全性配置"部分,选择身份验证提供程序、是否允许匿名访问以及是否使用安全套接字层 (SSL)。

  7. 在"应用程序池"部分,执行下列操作之一:

    • 如果我的网站应用程序池(请参阅"配置文件同步规划"工作表)是现有应用程序池,请单击"使用现有应用程序池",然后从下拉菜单中选择我的网站应用程序池。

    • 如果我的网站应用程序池(请参阅"配置文件同步规划"工作表)是新应用程序池,请单击"新建应用程序池",键入我的网站应用程序池的名称,然后选择应用程序池运行时所用的帐户(请参阅"配置文件同步规划"工作表),或者新建一个管理帐户以便应用程序池运行时使用。

  8. 在"数据库名称和验证"部分,选择数据库服务器、数据库名称和新 Web 应用程序的身份验证方法。

  9. 如果使用数据库镜像,请在"故障转移服务器"部分的"故障转移数据库服务器"框中,键入要与内容数据库关联的特定故障转移数据库服务器的名称。

  10. 在"服务应用程序连接"部分,选择将供 Web 应用程序使用的服务应用程序连接。

  11. 在"客户体验改善计划"部分,单击"是"或"否"。

  12. 单击"确定"创建新的 Web 应用程序。

  13. 显示"已创建应用程序"页时,单击"确定"。

在配置文件同步规划工作表的"‘我的网站’Web 应用程序"行中,输入 Web 应用程序的名称。稍后将需要此信息。

为我的网站创建管理路径

如果您希望我的网站主机和用户的My Sites ,以便在不具有管理的路径的 URL,使用在 SharePoint Server 中定义托管路径中的过程在以前创建的我的网站 web 应用程序中创建的我的网站管理的路径。在大多数情况下,现有的管理的路径将是足够的。

创建"我的网站宿主"网站集

在此过程中,将创建承载用户的My Sites的网站集。有关如何创建网站集的更详细的说明,请参阅在 SharePoint Server 中创建网站集

创建"我的网站宿主"网站集的具体步骤

  1. 确认执行此过程的用户帐户拥有以下凭据:

    • 执行此过程的用户帐户是服务器场管理员

    • 执行此过程的用户帐户是运行SharePoint Server 2013的计算机上管理员组的成员。

  2. 在管理中心的"应用程序管理"部分,单击"创建网站集"。

  3. 在"创建网站集"页的"Web 应用程序"部分,选择我的网站 Web 应用程序(请参阅"配置文件同步规划"工作表)。

  4. 在"标题和说明"部分,键入网站集的标题和说明。

  5. 在"网站地址"部分,选择我的网站宿主 URL 的路径。在大多数情况下,可以使用根目录 (/)。

  6. 在"模板选择"部分,单击"企业"选项卡,然后单击"我的网站宿主"。

  7. 在&quot;网站集主管理员&quot;部分,键入将成为网站集管理员的用户的用户名(形式为 <域>\<用户名>)。

  8. 在&quot;网站集第二管理员&quot;部分,键入网站集的第二管理员的用户名。

  9. 如果要使用配额来管理网站集的存储,请在&quot;配额模板&quot;部分,单击&quot;选择配额模板&quot;列表中的模板。

  10. 单击&quot;确定&quot;。

创建我的网站宿主网站集后将显示&quot;首要网站创建成功&quot;页。在&quot;配置文件同步规划&quot;工作表的&quot;我的网站宿主网站集 URL&quot;行中,输入此 URL。尽管可以单击链接来浏览到网站集的根目录,但这样做会导致错误,因为无法加载用户配置文件。此行为是预期行为;此时,还没有导入用户配置文件。

创建 User Profile Service 应用程序

在此过程中,将创建用于管理配置文件同步的 User Profile Service 应用程序。

有关如何创建 User Profile Service 应用程序的更详细的说明,请参阅创建 User Profile Service 应用程序

若要创建一个用户配置文件服务应用程序

  1. 确认执行此过程的用户帐户拥有以下凭据:

    • 执行此过程的用户帐户是服务器场管理员

    • 执行此过程的用户帐户是运行SharePoint Server 2013的计算机上管理员组的成员。

  2. 在管理中心的&quot;应用程序管理&quot;部分,单击&quot;管理服务应用程序&quot;。

  3. 在&quot;管理服务应用程序&quot;页上的功能区中,单击&quot;新建&quot;,然后单击&quot;User Profile Service 应用程序&quot;。

  4. 在&quot;名称&quot;部分,键入 User Profile Service 应用程序的名称(请参阅&quot;配置文件同步规划&quot;工作表)。

  5. 在&quot;应用程序池&quot;部分,选择 User Profile Service 应用程序将在其中运行的应用程序池(如果它已存在),或者新建一个应用程序池。(请参阅&quot;配置文件同步规划&quot;工作表。)

  6. 接受配置文件数据库、同步数据库和社会性标签数据库的默认设置(除非您需要其他名称),并指定故障转移服务器(如果要使用它们)。

  7. 在&quot;配置文件同步实例&quot;部分,选择同步服务器(请参阅&quot;配置文件同步规划&quot;工作表)。

  8. 在&quot;我的网站宿主 URL&quot;部分,输入在上一步骤中创建的我的网站宿主网站集 URL(请参阅&quot;配置文件同步规划&quot;工作表)。

  9. 在&quot;我的网站管理路径&quot;部分,输入路径的一部分,将这部分附加到我的网站宿主 URL 时将成为用户的My Sites的路径(请参阅&quot;配置文件同步规划&quot;工作表)。例如,如果我的网站宿主 URL 为 https://server:12345/ 并且您希望每个用户的我的网站位于 https://server:12345/personal/<用户名>,请为我的网站管理路径输入 /personal。将自动创建您输入的管理路径。使用您提供的名称的管理路径不必已存在。

  10. 在&quot;网站命名格式&quot;部分,选择命名方案。

  11. 在&quot;默认代理组&quot;部分,选择是否希望此 User Profile Service 的代理成为此服务器场上默认代理组的成员。

  12. 单击&quot;创建&quot;。

  13. &quot;创建新的 User Profile Service 应用程序&quot;页显示&quot;已成功创建配置文件服务应用程序&quot;消息时,单击&quot;确定&quot;。

若要确认 User Profile Service 应用程序已经创建,请刷新&quot;管理服务应用程序&quot;页。您应该看到两个条目,它们在&quot;名称&quot;列中的值是您为先前创建的 User Profile Service 应用程序提供的名称。第一个条目是服务应用程序本身。第二个条目是与服务应用程序的连接(即&quot;代理&quot;)。

使用 PowerShell 为用户配置文件同步启用 NetBIOS 域名

如果您要与其同步的任何域的 NetBIOS 名称不同于它的完全限定域名,则必须在 User Profile Service 应用程序上启用 NetBIOS 域名。如果所有 NetBIOS 名称都与域名相同,则可以跳过此过程。

若要通过使用PowerShell启用 NetBIOS 域名的用户配置文件同步

  1. 确认您具有以下成员身份:

    • SQL Server 实例上的 securityadmin 固定服务器角色。

    • 要更新的所有数据库上的 db_owner 固定数据库角色。

    • 运行 PowerShell cmdlet 的服务器上的 Administrators 组。

    • 必须阅读 about_Execution_Policies

    管理员可以使用 Add-SPShellAdmin cmdlet 授予使用 SharePoint Server 2016 cmdlet 的权限。

    备注

    如果您没有这些权限,请与安装管理员 SQL Server 管理员联系以请求权限。有关 PowerShell 权限的更多信息,请参阅权限和 Add-SPShellAdmin

  2. 将以下代码粘贴到文本编辑器中,如记事本中:

  3. $ServiceApps = Get-SPServiceApplication
    $UserProfileServiceApp = ""
    foreach ($sa in $ServiceApps)
      {if ($sa.DisplayName -eq "<UPSAName>") 
        {$UserProfileServiceApp = $sa}
      }
    $UserProfileServiceApp.NetBIOSDomainNamesEnabled = 1
    $UserProfileServiceApp.Update()
    
  4. <UPSAName> 替换为 User Profile Service 应用程序的名称。

  5. 保存该文件并添加 .ps1 扩展名,例如 EnableNetBIOS.ps1。

    备注

    可以使用其他文件名,但是必须将文件保存为扩展名为 .ps1 的 ANSI 编码文本文件。

  6. 启动 SharePoint 2016 命令行管理程序。

  7. 转到保存该文件的目录。

  8. 在 PowerShell 命令提示符处,键入以下命令:

    ./EnableNetBIOS.ps1
    

备注

我们建议您在执行命令行管理任务时使用 Windows PowerShell。Stsadm 命令行工具已被弃用,仍然包含该工具是为了支持与之前产品版本的兼容性。

启动 User Profile Service

在此过程中,将启动 User Profile Service。

要启动用户配置文件服务

  1. 确认执行此过程的用户帐户拥有以下凭据:

    • 执行此过程的用户帐户是服务器场管理员

    • 执行此过程的用户帐户是运行SharePoint Server 2013的计算机上管理员组的成员。

  2. 在管理中心的&quot;系统设置&quot;部分,单击&quot;管理服务器上的服务&quot;。

  3. 在&quot;服务器上的服务&quot;页的&quot;服务器&quot;框中,选择同步服务器(请参阅&quot;配置文件同步规划&quot;工作表)。

  4. 找到&quot;服务&quot;列值为&quot;User Profile Service&quot;的行。如果&quot;状态&quot;列中的值为&quot;已停止&quot;,请单击&quot;操作&quot;列中的&quot;启动&quot;。

阶段 1:启动用户配置文件同步服务

在此阶段,将启动用户配置文件同步服务。

此阶段涉及以下任务:

  1. 启动用户配置文件同步服务

  2. 删除不必要的权限

  3. 重设 IIS

若要在此阶段中执行的任务,您必须是服务器场管理员 SharePoint 组的成员并运行SharePoint Server 2013的计算机上管理员组的成员。

启动用户配置文件同步服务

在此过程中,将启动用户配置文件同步服务。用户配置文件同步服务与 Microsoft Forefront Identity Manager (FIM) 交互来与外部系统同步信息。

要启动用户配置文件同步服务

  1. 确认执行此过程的用户帐户拥有以下凭据:

    • 执行此过程的用户帐户是服务器场管理员

    • 执行此过程的用户帐户是运行SharePoint Server 2013的计算机上管理员组的成员。

  2. 在管理中心的&quot;系统设置&quot;部分,单击&quot;管理服务器上的服务&quot;。

  3. 在&quot;服务器上的服务&quot;页的&quot;服务器&quot;框中,选择同步服务器。

  4. 找到&quot;服务&quot;列值为&quot;用户配置文件同步服务&quot;的行。如果&quot;状态&quot;列中的值为&quot;已停止&quot;,请单击&quot;操作&quot;列中的&quot;启动&quot;。

  5. 在&quot;用户配置文件同步服务&quot;页的&quot;选择用户配置文件应用程序&quot;部分,选择 User Profile Service 应用程序。

  6. 在&quot;服务帐户名和密码&quot;部分,已经选择了服务器场帐户。在&quot;密码&quot;框中输入服务器场帐户的密码,然后在&quot;确认密码&quot;框中再次输入它。

  7. 单击&quot;确定&quot;。

服务器上的服务页面显示用户配置文件同步服务已启动的状态。当您启动用户配置文件同步服务时, SharePoint Server 2013规定 FIM 参与同步。这可能需要 10 分钟。要确定是否已启动用户配置文件同步服务,请刷新服务器上的服务页面。

如果用户配置文件同步服务不启动,请确认服务器场帐户同步服务器上具有必要的权限。有关哪些权限所需的详细信息,请参阅文章"配置文件同步的计划。"计划帐户权限部分

删除不必要的权限

用于日常操作的用户配置文件同步服务启动之后服务器场帐户不需要是正在运行的同步服务的计算机上管理员组的成员。若要提高您的SharePoint Server 2013安装的安全性,请从正在运行的同步服务的计算机上的管理员组删除服务器场帐户。但是,当您执行备份的用户配置文件应用程序,同步服务提供用户配置文件应用程序再次。服务器场帐户设置用户配置文件应用程序期间,必须停止并启动同步服务。若要执行此操作,服务器场帐户必须是正在运行的同步服务的计算机上管理员组的成员。因此,在执行备份之前,添加到正在运行的同步服务的计算机上的管理员组服务器场帐户。备份已完成运行后,您可以从管理员组中删除服务器场帐户。

授予服务器场帐户 Microsoft FIM 2010 的远程启用权限。

  1. 在运行同步服务的服务器上,单击&quot;开始&quot;。

  2. 单击&quot;运行&quot;,键入&quot;wmimgmt.msc&quot;,然后单击&quot;确定&quot;。

  3. 右键单击&quot;WMI 控制&quot;,然后单击&quot;属性&quot;。

  4. 在&quot;WMI 控制属性&quot;对话框中,单击&quot;安全&quot;选项卡。

  5. 展开&quot;Root&quot;列表,然后选择 Microsoft FIM 2010 命名空间&quot;MicrosoftIdentityIntegrationServer&quot;。

  6. 单击&quot;安全设置&quot;按钮。

  7. 将服务器场帐户添加到组和用户列表中,然后在&quot;通过身份验证的用户权限&quot;框中,针对&quot;远程启用&quot;权限选择&quot;允许&quot;。

  8. 单击&quot;确定&quot;关闭&quot;安全设置 ROOT\MicrosoftIdentityIntegrationServer&quot;对话框,然后单击&quot;确定&quot;关闭&quot;WMI 控制属性&quot;对话框。

重置 IIS

如果 SharePoint 管理中心网站和用户配置文件同步服务在同一台服务器上运行,则必须在用户配置文件同步服务启动后重置 IIS。如果它们在不同的服务器上运行,则可以跳过此过程。

若要重置IIS

  1. 确认执行此过程的用户帐户拥有以下凭据:

    • 执行此过程的用户帐户是服务器场管理员

    • 执行此过程的用户帐户是运行SharePoint Server 2013的计算机上管理员组的成员。

  2. 使用提升的权限启动命令提示符。

  3. 在&quot;用户帐户控制&quot;对话框中,单击&quot;是&quot;。

  4. 在&quot;管理员: 命令提示符&quot;窗口中,键入 iisreset,然后按 Enter。

  5. 显示&quot;Internet 服务已成功重新启动&quot;消息时,关闭&quot;管理员: 命令提示符&quot;窗口。

备注

重置 IIS 后,将花费几秒钟的时间加载管理中心页面。

阶段 2:配置连接并从目录服务导入数据

若要导入配置文件,必须至少具有一个与目录服务的同步连接。在此阶段,将创建与要从中导入配置文件的每个目录服务的同步连接。您可以在创建每个连接后同步,也可以在创建所有连接后一次性同步。创建每个连接后同步花费的时间较长,但这样更易于排查可能遇到的任何问题。

您必须是服务器场管理员或 User Profile Service 应用程序的管理员才能执行这些过程。如果您不是服务器场管理员,请使用&quot;管理配置文件服务&quot;页开始每个过程。

此阶段涉及以下任务:

  1. 创建与目录服务的同步连接

  2. 定义排除筛选器

  3. 映射用户配置文件属性

  4. 启动配置文件同步

创建与目录服务的同步连接

在此过程中,将创建与目录服务的连接。连接可识别要同步的项目并包含用于与目录服务交互的凭据。您输入的信息来自&quot;连接规划&quot;工作表。

若要创建与目录服务的配置文件同步连接

  1. 确认执行此过程的用户帐户拥有以下凭据:

    • 执行此过程中的用户帐户是服务器场管理员或 User Profile Service 应用程序的管理员。

    • 执行此过程的用户帐户是运行SharePoint Server 2013的计算机上管理员组的成员。

  2. 如果执行此过程的用户帐户是服务器场管理员,请完成这些步骤。否则,请转到下一步:

    1. 在管理中心的&quot;应用程序管理&quot;部分,单击&quot;管理服务应用程序&quot;。

    2. 在&quot;管理服务应用程序&quot;页上,选择 User Profile Service 应用程序。

  3. 在管理中心的&quot;管理配置文件服务&quot;页上的&quot;同步&quot;部分,单击&quot;配置同步连接&quot;。

  4. 在&quot;同步连接&quot;页上,单击&quot;新建连接&quot;。

  5. 在&quot;添加新的同步连接&quot;页上的&quot;连接名称&quot;框中,键入同步连接的名称。

  6. 从&quot;类型&quot;列表中,选择要连接到的目录服务的类型。

  7. 根据要创建与其的连接的目录服务,填写&quot;连接设置&quot;部分。

    对于 Active Directory 域服务 (AD DS),请执行以下步骤:

    1. 在&quot;林名称&quot;框中,键入林的名称。

    2. 执行下列操作之一:

      • 如果林中只有一个域控制器,请单击&quot;自动发现域控制器&quot;。

      • 如果林中有多个域控制器,请单击&quot;指定域控制器&quot;,并在&quot;域控制器名称&quot;框中键入域控制器名称。

    3. 在&quot;验证提供程序类型&quot;框中,选择验证提供程序的类型。

    4. 如果选择&quot;表单身份验证&quot;或&quot;受信任声明提供程序验证&quot;,请从&quot;验证提供程序实例&quot;框中选择验证提供程序。

      &quot;验证提供程序实例&quot;框中仅列出了 Web 应用程序当前使用的身份验证提供程序。

      提示

      在显示身份验证提供程序的列表之前,您可能必须选择&quot;受信任声明提供程序验证&quot;,然后选择&quot;验证提供程序类型&quot;框中的&quot;表单身份验证&quot;。

    5. 在&quot;帐户名&quot;框中,键入同步帐户。

    6. 在&quot;密码&quot;框中,键入同步帐户的密码。

    7. 在&quot;确认密码&quot;框中,再次键入同步帐户的密码。

    8. 在&quot;端口&quot;框中,输入连接端口。

    9. 如果在连接到目录服务时需要安全套接字层 (SSL) 连接,请选择&quot;使用安全 SSL 连接&quot;。

      重要

      如果使用 SSL 连接,则必须从 Active Directory 服务器导出域控制器的证书,并将证书导入到同步服务器。

    对于 Novell eDirectory、Sun Java 系统目录服务器或 IBM Tivoli 目录服务器 (ITDS),请执行以下步骤:

    1. 在&quot;目录服务服务器名称&quot;框中,键入目录服务服务器的名称。

    2. 在&quot;验证提供程序类型&quot;框中,选择验证提供程序的类型。

    3. 在&quot;验证提供程序实例&quot;框中,选择验证提供程序。

      &quot;验证提供程序实例&quot;框中仅列出了 Web 应用程序当前使用的身份验证提供程序。

      提示

      在显示身份验证提供程序的列表之前,您可能必须选择&quot;受信任声明提供程序验证&quot;,然后选择&quot;验证提供程序类型&quot;框中的&quot;表单身份验证&quot;。

    4. 在&quot;帐户名&quot;框中,以 LDAP 格式键入同步帐户,例如,uid=username,ou=ouname,dc=yourcompany,dc=Com。

    5. 在&quot;密码&quot;框中,键入同步帐户的密码。

    6. 在&quot;确认密码&quot;框中,再次键入同步帐户的密码。

    7. 在&quot;端口&quot;框中,输入连接端口。

    8. 确认未选中&quot;使用安全 SSL 连接&quot;复选框。这些目录服务不支持 SSL 连接。

    9. 在&quot;用户名属性&quot;框中,键入目录服务中充当每个配置文件的唯一标识符的属性的名称。

  8. 在&quot;容器&quot;部分,单击&quot;填充容器&quot;,然后从目录服务中选择要同步的容器。

  9. 单击&quot;确定&quot;。

定义同步连接的排除筛选器

在此过程中,将定义连接的筛选器以指示要从同步中排除的用户配置文件和组。您输入的信息来自&quot;连接规划&quot;工作表。

若要定义连接筛选器

  1. 确认执行此过程的用户帐户拥有以下凭据:

    • 执行此过程中的用户帐户是服务器场管理员或 User Profile Service 应用程序的管理员。

    • 执行此过程的用户帐户是运行SharePoint Server 2013的计算机上管理员组的成员。

  2. 如果执行此过程的用户帐户是服务器场管理员,请完成这些步骤。否则,请转到下一步:

    1. 在管理中心的&quot;应用程序管理&quot;部分,单击&quot;管理服务应用程序&quot;。

    2. 在&quot;管理服务应用程序&quot;页上,选择 User Profile Service 应用程序。

  3. 在管理中心的&quot;管理配置文件服务&quot;页上的&quot;同步&quot;部分,单击&quot;配置同步连接&quot;。

  4. 在&quot;同步连接&quot;页上,右键单击要为其用户配置配置文件同步连接筛选器的连接,然后单击&quot;编辑连接筛选器&quot;。

  5. 在&quot;编辑连接筛选器&quot;页的&quot;用户的排除筛选器&quot;部分,选择用于联接筛选器的子句的运算符。

    • 若要指定筛选器的所有子句都必须为 true,请选择&quot;全部应用 (AND)&quot;。

    • 若要指定筛选器至少有一个子句必须为 true,请选择&quot;任意适用 (OR)&quot;。

  6. 在&quot;属性&quot;列表中,选择要比较的目录服务属性。

  7. 在&quot;运算符&quot;列表中,选择要使用的比较运算符。

    备注

    可用的运算符取决于所选的属性的数据类型。有关可用于每个数据类型的运算符的列表,请参阅SharePoint Server 2013 中的连接筛选器数据类型和运算符

  8. 在&quot;筛选器&quot;框中,键入要与属性进行比较的值。

  9. 单击&quot;添加&quot;。

    添加的子句显示在&quot;用户的排除筛选器&quot;区域。

  10. 若要向筛选器添加子句,请重复步骤 5 至 9。

  11. 若要筛选要同步的组,请重复步骤 5 至 9,并使用该页面的&quot;用户的排除筛选器&quot;部分。

  12. 完成添加连接筛选器后,请单击&quot;确定&quot;。

映射用户配置文件属性

在此过程中,您可以确定SharePoint Server 2013用户配置文件的属性如何映射到从目录服务中检索用户信息。您应确定如何将映射的用户配置文件属性工作表中的用户配置文件属性数据表上的用户配置文件属性。

您将回来对此过程中要映射到业务系统中检索到的信息的用户配置文件属性,并将映射如何在SharePoint Server 2013中的用户配置文件属性可用于将信息写回到目录服务的更高阶段。如果您未达到这阶段,忽略过程处理的业务系统和导出数据的部分。

映射用户配置文件属性

  1. 确认执行此过程的用户帐户拥有以下凭据:

    • 执行此过程中的用户帐户是服务器场管理员或 User Profile Service 应用程序的管理员。

    • 执行此过程的用户帐户是运行SharePoint Server 2013的计算机上管理员组的成员。

  2. 如果执行此过程的用户帐户是服务器场管理员,请完成这些步骤。否则,请转到下一步:

    1. 在管理中心的&quot;应用程序管理&quot;部分,单击&quot;管理服务应用程序&quot;。

    2. 在&quot;管理服务应用程序&quot;页上,选择 User Profile Service 应用程序。

  3. 在管理中心的&quot;管理配置文件服务&quot;页的&quot;人员&quot;部分,单击&quot;管理用户属性&quot;。

  4. 管理用户属性页上,用鼠标右键单击要映射到目录服务属性, SharePoint Server 2013属性,然后单击编辑

  5. 若要删除现有映射,请在&quot;同步的属性映射&quot;部分,选择要删除的映射,然后单击&quot;删除&quot;。

  6. 若要添加新映射,请执行以下操作:

    1. 添加新映射部分的源数据连接列表中,选择表示您要将SharePoint Server 2013属性映射的外部系统的数据连接。

    2. 在&quot;特性&quot;列表中,选择要向其映射属性的外部系统中的特性的名称。

      提示

      只有在某个用户配置文件属性的数据类型与某个外部系统特性的数据类型兼容的情况下,才可以将前者映射到后者。如果尝试映射到用户配置文件的特性没有列出,则可能是因为该用户配置文件属性的数据类型与该特性的数据类型不匹配。有关兼容的数据类型的详细信息,请参阅SharePoint Server 2013 中的用户配置文件属性数据类型

    3. 在&quot;方向&quot;列表中,选择映射方向。

      导入一个方向意味着外部系统中属性的值将被导入到SharePoint Server 2013和用来设置SharePoint Server 2013属性的值。导出的方向意味着将导出到外部系统,用于在外部系统中设置属性的值在SharePoint Server 2013属性的值。

      备注

      您不能编辑映射。若要更改映射方向,必须首先删除包含旧方向的映射,然后以新方向创建一个映射并添加该映射。

    4. 单击&quot;添加&quot;。

  7. 单击&quot;确定&quot;。

  8. 重复步骤 4 至 7 以映射其他属性。

启动配置文件同步

使用此过程来配置文件SharePoint Server 2013和目录服务等外部系统或业务系统之间的信息同步。

启动配置文件同步

  1. 确认执行此过程的用户帐户拥有以下凭据:

    • 执行此过程中的用户帐户是服务器场管理员或 User Profile Service 应用程序的管理员。

    • 执行此过程的用户帐户是运行SharePoint Server 2013的计算机上管理员组的成员。

  2. 如果已导入用户或创建My Sites,并且已启用 NetBIOS 域名,则必须先禁用我的网站清理计时器作业,然后才能启动配置文件同步。有关此计时器作业的信息,请参阅SharePoint Server 2016 的计时器作业参考。有关用于启用和禁用此计时器作业的 PowerShell cmdlet 的信息,请参阅在 SharePoint Server 2016 中使用 Windows Powershell cmdlet 管理计时器作业

  3. 如果执行此过程的用户帐户是服务器场管理员,请完成这些步骤。否则,请转到下一步:

    1. 在管理中心的&quot;应用程序管理&quot;部分,单击&quot;管理服务应用程序&quot;。

    2. 在&quot;管理服务应用程序&quot;页上,选择 User Profile Service 应用程序。

  4. 在管理中心的&quot;管理配置文件服务&quot;页上的&quot;同步&quot;部分,单击&quot;启动配置文件同步&quot;。

  5. 在&quot;启动配置文件同步&quot;页上,如果这是第一次同步或者在上次同步后添加或更改了任何同步连接或属性映射,请选择&quot;启动完全同步&quot;。选择&quot;启动增量同步&quot;可以仅同步自上次同步后更改的信息。

  6. 单击&quot;确定&quot;。

    将显示&quot;管理配置文件服务&quot;页。

  7. 如果要启用我的网站清理计时器作业,请在启用该作业前另外完成以下几个步骤:

    1. 再次运行配置文件同步,如本节中所述。

    2. 在配置文件同步完成第二次运行后,在管理中心的&quot;应用程序管理&quot;部分,单击&quot;管理服务应用程序&quot;。

    3. 单击 User Profile Service 应用程序的名称,然后单击&quot;管理用户配置文件&quot;。

    4. 在&quot;管理配置文件服务&quot;页的&quot;人员&quot;部分,单击&quot;管理用户配置文件&quot;。

    5. 在&quot;视图&quot;旁边,选择&quot;导入时丢失的配置文件&quot;。

    6. 在&quot;查找配置文件&quot;框中,键入配置文件的域,然后单击&quot;查找&quot;。

    7. 对于每个返回的配置文件,检查原始目录服务(如 Active Directory)中配置文件的状态。如果目录中任何一个返回的配置文件的状态不是&quot;禁用&quot;或&quot;已删除&quot;,则不要启用我的网站清理计时器作业。请联系 Microsoft 支持以获得更多帮助。如果上述状态并非如此,则启用我的网站清理计时器作业。有关用于启用和禁用此计时器作业的 PowerShell cmdlet 的信息,请参阅在 SharePoint Server 2016 中使用 Windows Powershell cmdlet 管理计时器作业

完全同步可能需要较长的时间。如果刷新&quot;管理配置文件服务&quot;页,您将在页面的右侧看到同步作业的进度。请注意,配置文件同步包含几个阶段,并且配置文件不会立即导入。&quot;管理配置文件服务&quot;页不会随同步的进展情况自动刷新。

阶段 3:配置连接并从业务系统导入数据

可以从业务系统中,人事系统和财务系统,导入数据,并使用这些数据添加到现有的用户配置文件的属性。您应该已经创建外部内容类型, SharePoint Server 2013将带入来自外部系统的信息。有关如何创建外部内容类型与业务系统进行同步的详细信息,请参阅为 SharePoint Server 2013 规划配置文件同步

此阶段是可选的。

您必须是服务器场管理员或同时是 User Profile Service 应用程序和 Business Data Connectivity Service 应用程序的管理员才能执行这些过程。如果您不是服务器场管理员,请在&quot;管理配置文件服务&quot;页开始每个过程。

此阶段涉及以下任务:

  1. 授予 User Profile Service 应用程序使用外部内容类型的权限

  2. 配置业务数据连接同步连接

  3. 添加或编辑用户配置文件属性

  4. 从业务系统导入数据

授予 User Profile Service 应用程序使用外部内容类型的权限

使用此过程可以为服务器场帐户授予的权限执行的外部内容类型的操作。有关如何在外部内容类型上设置权限的详细信息,请参阅设置外部内容类型的权限

备注

Business Connectivity Services 使用外部内容类型上的权限和业务系统上的权限确定授权规则。您必须确保服务器场帐户还具有访问业务系统的权限。有关身份验证和权限的详细信息,请参阅 SharePoint Server 中的 Business Connectivity Services 安全任务概述

能够使用外部内容类型的用户配置文件服务应用程序权限

  1. 确认执行此过程的用户帐户拥有以下凭据:

    • 执行此过程的用户帐户是服务器场管理员或 Business Data Connectivity Service 应用程序的管理员。

    • 执行此过程的用户帐户对要与其同步的外部内容类型具有&quot;设置权限&quot;权限。

  2. 如果执行此过程的用户帐户是服务器场管理员,请完成此步骤。如果用户帐户不是服务器场管理员,请转到下一步:

    • 在SharePoint 管理中心网站上的&quot;应用程序管理&quot;部分,单击&quot;管理服务应用程序&quot;。
  3. 在管理中心的&quot;管理服务应用程序&quot;页上,选择 Business Data Connectivity Service 应用程序。

  4. 选中外部内容类型(代表要与其同步的信息)的复选框。

  5. 在&quot;权限&quot;组中,单击&quot;设置对象权限&quot;。

  6. 在框中键入服务器场帐户,然后单击&quot;添加&quot;。

  7. 在&quot;<帐户> 的权限&quot;框中,选择&quot;执行&quot;。

    备注

    如果服务器场帐户是&quot;<帐户> 的权限&quot;框中所列的唯一帐户,则还必须为服务器场帐户授予对外部内容类型的设置权限。外部内容类型的访问控制列表中必须至少有一个用户、组或声明具有&quot;设置权限&quot;权限。

  8. 单击&quot;确定&quot;。

  9. 确认选中了&quot;将权限传播给此外部内容类型的所有方法。执行此操作将覆盖现有权限。&quot;复选框。

  10. 重复这些步骤以对其他外部内容类型设置权限。

配置业务数据连接同步连接

在此过程中,将为每个外部内容类型创建一个连接。连接指定如何将业务系统数据与配置文件属性相关联。您输入的信息来自&quot;连接规划&quot;工作表。

若要创建一个用户配置文件同步连接

  1. 确认执行此过程的用户帐户拥有以下凭据:

    • 执行此过程的用户帐户是服务器场管理员或 User Profile Service 应用程序和 Business Data Connectivity Service 应用程序的管理员。
  2. 如果执行此过程的用户帐户是服务器场管理员,请完成这些步骤。否则,请转到下一步:

    1. 在管理中心的&quot;应用程序管理&quot;部分,单击&quot;管理服务应用程序&quot;。

    2. 在&quot;管理服务应用程序&quot;页上,选择 User Profile Service 应用程序。

  3. 在管理中心的&quot;管理配置文件服务&quot;页上的&quot;同步&quot;部分,单击&quot;配置同步连接&quot;。

  4. 在&quot;同步连接&quot;页上,单击&quot;新建连接&quot;。

  5. 在&quot;添加新的同步连接&quot;页上的&quot;连接名称&quot;框中,为同步连接键入一个名称。

  6. 从&quot;类型&quot;列表中,选择&quot;业务数据连接&quot;。

  7. 在&quot;业务数据连接实体&quot;框中,键入外部内容类型的名称。

    提示

    如果不知道外部内容类型的名称,请单击&quot;选择外部内容类型&quot;按钮以查看所有外部内容类型。从列表中选择外部内容类型,然后单击&quot;确定&quot;。

  8. 如果每个用户配置文件仅映射到一个外部内容类型实例,请执行以下操作:

    1. 单击&quot;以一对一映射的形式将用户配置文件存储连接到业务数据连接实体&quot;。

    2. 在&quot;返回此配置文件属性标识的项目&quot;列表中,选择用于将用户配置文件与外部内容类型实例相匹配的用户配置文件属性。该用户配置文件属性和外部内容类型标识符定义用户配置文件和外部内容类型之间的一对一关系,并用于确保导入的属性应用到正确的用户配置文件。

      提示

      &quot;返回此配置文件属性标识的项目&quot;列表返回与外部内容类型标识符具有相似数据类型的所有用户配置文件属性。

  9. 如果一个用户配置文件可以映射到多个外部内容类型实例,请执行以下操作:

    1. 单击&quot;以一对多映射的形式将用户配置文件存储连接到业务数据连接实体&quot;。

    2. 在&quot;项目筛选依据&quot;列表中,选择用于查找适用于用户配置文件的外部内容类型实例集的筛选器。

      备注

      &quot;项目筛选依据&quot;列表显示在外部内容类型中定义的所有筛选器。

    3. 在&quot;将此配置文件属性用作筛选值&quot;列表中,选择用于将用户配置文件与外部内容类型实例匹配的用户配置文件属性。

  10. 单击&quot;确定&quot;。

  11. 重复步骤 4 至 10 以添加更多连接。

添加或编辑用户配置文件属性

您可以导入的业务系统数据之前,您必须指定业务系统数据如何映射到用户配置文件属性。在用户配置文件属性工作表中的用户配置文件属性数据表列出了您要导入的业务系统属性和这些属性如何映射到SharePoint Server 2013配置文件存储区中的配置文件属性。

按照映射用户配置文件属性一节中的过程操作,以映射其他用户配置文件属性。如果数据映射到现有用户配置文件属性,请编辑该属性并添加新映射。如果数据不映射到现有用户配置文件属性,请添加新的自定义属性,然后映射该属性。

导入数据

若要从业务系统导入数据,必须执行完全同步。按照启动配置文件同步一节中的过程操作以启动完全同步。

阶段 4:配置连接并将数据导出到目录服务

在前面的阶段中,您配置了必需的配置文件同步连接。若要将配置文件信息写回到目录服务,可将配置文件属性映射到目录服务中的特性,映射方向为&quot;导出&quot;。下次运行配置文件同步时,将根据配置的映射导入和导出属性。

备注

尽管可以使用 Business Connectivity Service 从业务系统导入配置文件数据,但是不能将配置文件数据导出到业务系统。

此阶段是可选的。

您必须是服务器场管理员或 User Profile Service 应用程序的管理员才能执行这些过程。如果您不是服务器场管理员,请使用&quot;管理配置文件服务&quot;页开始每个过程。

请勿创建新同步连接来导出属性。若要将属性导出到目录服务,请使用所创建的用于从目录服务导入属性的同一同步连接。不能将同步连接仅用于导出属性。

将用户配置文件属性映射到再次执行该过程,这一次选择导出的映射方向。您选择的连接的目录服务,将从SharePoint Server 2013导出映射的属性。

再次,按照步骤启动配置文件同步到此时间中选择要执行增量同步。将更新的任何SharePoint Server 2013配置文件属性的映射导出到目录服务的属性的值。

备注

对于某些目录服务,可能需要其他权限才能将数据写回到目录服务。请查看&quot;规划配置文件同步&quot;一文的规划帐户权限一节的信息,并确保同步帐户具有必需的权限。

感谢

SharePoint Server 2013内容发布团队感谢 Spencer Harbar,企业架构师,分配给这篇文章。在http://www.harbar.net找不到他的博客。

See also

管理 SharePoint 服务器中的用户配置文件同步
安排在 SharePoint 服务器的配置文件同步
为 SharePoint Server 2013 规划配置文件同步