授予 Active Directory 域服务权限以同步配置文件 (SharePoint Server 2010)

  • 项目

 

适用于: SharePoint Server 2010

上一次修改主题: 2011-06-15

本文包含可供 Active Directory 域服务 (AD DS) 管理员用来配置将配置文件信息与 Microsoft SharePoint Server 2010 同步所需的权限的过程。“规划配置文件同步”一文的规划帐户权限部分介绍了各种环境中所需的相应权限。

本文中的过程对要授予权限的帐户使用了“同步帐户”这一短语。同步帐户是 SharePoint Server 在配置文件同步期间用来连接到 AD DS 的帐户。

本文内容:

  • 授予对域的复制目录更改权限

  • 向 Pre-Windows 2000 Compatible Access 组添加帐户

  • 授予对 cn=configuration 容器的复制目录更改权限

  • 授予创建子对象和写入权限

授予对域的复制目录更改权限

使用此过程可向帐户授予对域的复制目录更改权限。

利用复制目录更改权限,同步帐户不仅可以读取 AD DS 对象,而且可以发现域中已更改的 AD DS 对象。授予复制目录更改权限并不会使帐户能够创建、修改或删除 AD DS 对象。

授予对域的复制目录更改权限

  1. 在域控制器上,单击“开始”,单击“管理工具”,然后单击“Active Directory 用户和计算机”。

  2. 在“Active Directory 用户和计算机”中,右键单击域,然后单击“委派控制”。

  3. 在控制委派向导的第一页上,单击“下一步”。

  4. 在“用户或组”页上,单击“添加”。

  5. 键入同步帐户的名称,然后单击“确定”。

  6. 单击“下一步”。

  7. 在“要委派的任务”页上,选择“创建自定义任务去委派”,然后单击“下一步”。

  8. 在“Active Directory 对象类型选择”页上,选择“这个文件夹,这个文件夹中的对象,以及创建在这个文件夹中的新对象”,然后单击“下一步”。

  9. 在“权限”页上的“权限”框中,选择“复制目录更改”(在 Windows Server 2003 中选择“复制目录更改”),然后单击“下一步”。

  10. 单击“完成”。

向 Pre-Windows 2000 Compatible Access 组添加帐户

使用此过程可向 Pre-Windows 2000 Compatible Access 组添加帐户。

向 Pre-Windows 2000 Compatible Access 组添加帐户

  1. 在域控制器上,单击“开始”,单击“管理工具”,然后单击“Active Directory 用户和计算机”。

  2. 在“Active Directory 用户和计算机”中,展开域,展开“内置”,右键单击“Pre-Windows 2000 Compatible Access”,然后单击“属性”。

  3. 在“属性”对话框中,单击“成员”选项卡,然后单击“添加”。

  4. 键入同步帐户的名称,然后单击“确定”。

  5. 单击“确定”。

授予对 cn=configuration 容器的复制目录更改权限

使用此过程可向帐户授予对 cn=configuration 容器的复制目录更改权限。

授予对 cn=configuration 容器的复制目录更改权限

  1. 在域控制器上,单击“开始”,单击“运行”,键入 adsiedit.msc,然后单击“确定”。

  2. 如果“配置”节点尚不存在,请执行以下操作:

    1. 在导航窗格中,单击“ADSI 编辑”。

    2. 在“操作”菜单上,单击“连接到”。

    3. 在“连接设置”对话框的“连接点”区域,单击“选择一个已知命名上下文”,从下拉列表中选择“配置”,然后单击“确定”。

  3. 展开“配置”节点,右键单击“CN=Configuration...”节点,然后单击“属性”。

  4. 在“属性”对话框中,单击“安全性”选项卡。

  5. 在“组或用户名”部分,单击“添加”。

  6. 键入同步帐户的名称,然后单击“确定”。

  7. 在“组或用户名”部分,选择同步帐户。

  8. 在“权限”部分,选中“复制目录更改”(在 Windows Server 2003 中为“复制目录更改”)权限旁边的“允许”复选框,然后单击“确定”。

授予创建子对象和写入权限

使用此过程可向帐户授予创建子对象和写入权限。

授予创建子对象和写入权限

  1. 在域控制器上,单击“开始”,单击“运行”,键入 adsiedit.msc,然后单击“确定”。

  2. 如果“默认命名上下文”节点尚不存在,请执行以下操作:

    1. 在导航窗格中,单击“ADSI 编辑”。

    2. 在“操作”菜单上,单击“连接到”。

    3. 在“连接设置”对话框的“连接点”区域,单击“选择一个已知命名上下文”,从下拉列表中选择“默认命名上下文”,然后单击“确定”。

  3. 在“ADSI 编辑”窗口的导航窗格中,展开域,展开“DC=...”节点,右键单击要为其授予权限的 OU,然后单击“属性”。

  4. 在“属性”对话框的“安全性”选项卡上,单击“高级”。

  5. 在“高级安全设置”对话框中,选择其在“名称”列中的值为同步帐户且在“继承自”列中的值为“<不是继承的>”的行,然后单击“编辑”。如果此行不存在,请单击“添加”,单击“位置”,选择“整个目录”,单击“确定”,键入同步帐户,然后单击“确定”。这将添加相应的行,现在您可以选择该行。

    备注

    不要选择继承自另一位置的同步帐户对应的行。这样做仅允许您将权限应用到 OU,而不是 OU 的内容。

  6. 从“权限项”对话框的“应用于”框中选择“这个对象及全部后代”(在 Windows Server 2003 中选择“这个对象及全部子对象”),选中“写入所有属性”和“创建所有子对象”属性对应的行中的“允许”复选框,然后单击“确定”。

  7. 单击“确定”以关闭“高级安全设置”对话框。

  8. 单击“确定”以关闭“属性”对话框。

  9. 重复步骤 3 至 8 以授予对其他 OU 的权限。

See Also

Concepts

规划配置文件同步 (SharePoint Server 2010)
配置同步配置文件 (SharePoint Server 2010)