在 SharePoint 服务器使用 SharePoint 活动目录导入配置配置文件同步
**上一次修改主题:**2018-02-28
**摘要:**了解如何使用导入用户配置文件从 Active Directory 到 SharePoint Server 2013 和SharePoint Server 2016 Active Directory 导入工具的用户配置文件。
您的域中,可以使用 SharePoint Active Directory 导入选项 (AD 导入) 作为一种替代方法,使用 Microsoft 身份管理器 (MIM) 从 Active Directory 域服务 (AD DS) 导入用户配置文件数据。
使用 AD 导入的导入操作是使用 MIM 的相同操作比快很多。但是,AD 导入使用 Active Directory 域服务 (AD DS),不适用于其他目录服务。此外,如果您选择使用 AD 导入,MIM 或其他外部标识管理器不可用的连接到其他数据源,如业务应用程序。
您必须属于场管理员组来执行本文中的过程。您还需要与同步权限,才能配置连接的域凭据。
备注
MIM 是仅在 SharePoint 服务器 2016年可用外部供应商。
由广告支持的情况下导入
确定是否使用 AD 导入选项时,请考虑以下事项并注意 AD 导入选项不支持的内容:
AD 导入方法不执行双向同步。这意味着对 SharePoint 用户配置文件所做的更改不会同步回域控制器。
仅在单个 Active Directory 林中保持用户与组之间的引用完整性。
AD 导入选项使您能够配置并仅使用单个服务器场范围的属性映射。
AD 的导入选项不自动同步到SharePoint Server 2016来自 Active Directory 的照片。
AD 导入选项不支持泛型(非 AD)LDAP 源。
AD 导入选项不支持源架构发现。
AD 导入选项不支持多林方案,如:
如果您有两个林之间的信任关系,则不会导入受信任的林对象。
如果需要从多个域导入用户,则必须创建多个同步连接。如果您有多个域以使用 MIM 的管理。
AD 导入选项不支持 Contact 对象(也称为跨对象指针)。
AD 导入选项不支持除用户和组之外的自定义对象类。
AD 导入选项不筛选用于创建复杂布尔表达式的用户界面。
AD 导入选项不提供基于对象属性值的对象筛选(必须使用简单的 LDAP 筛选器)。
AD 导入选项不提供登录和资源林支持。也就是说,从多个源自定义数据连接。
AD 导入选项不支持 Business Connectivity Services 导入。
AD 导入选项不支持复杂类型(如图片和特殊 AD 类型)的属性映射。
AD 导入选项不支持将数据从 SharePoint 导出到目录源。
AD 导入选项不支持升级/翻译基于 FIM 的连接或将配置同步到 AD 导入(或按相反顺序同步)。
AD 导入选项不能确保每个对象属性的单主机(当前以最后一个编写器为准)。
AD 导入选项不执行逐租户的属性映射。
设置 SharePoint 活动目录导入
可在管理中心中执行三个过程来配置 AD 导入。
在第一个过程中,您可以配置SharePoint Server而不是如 MIM 外部标识管理器使用 AD 导入。
在第二个过程中,您可以创建一个同步连接到 AD DS。连接标识要同步的项,并包含用于交互与 AD DS 的凭据。
在第三个过程中,您可以确定在SharePoint Server中的用户配置文件的属性如何映射到从 AD DS 检索用户信息。
若要配置 SharePoint 服务器以使用 AD 导入
在 SharePoint 管理中心网站上的"应用程序管理"部分,单击"管理服务应用程序"。
在管理服务应用程序页上,单击用户配置文件服务应用程序的链接。
在"管理配置文件服务"页上的"同步"部分,单击"配置同步设置"。
在"配置同步设置"页上的"同步选项"部分,选择"使用 SharePoint Active Directory 导入"选项,然后单击"确定"。
要导入的配置文件,您必须至少同步连接到 AD DS。您可能必须与 AD DS 的多个服务器的连接。使用下面的过程中,创建与您要从中导入配置文件的每个 AD DS 服务器的同步连接。创建每个连接,或您可以同步一次之后您已创建的所有连接, 后,您可以同步。同步后的每个连接需要更长时间,尽管这样做便于解决可能遇到的任何问题。
若要创建与要导入的目录服务的连接
在 SharePoint 管理中心网站上的"应用程序管理"部分,单击"管理服务应用程序"。
在管理服务应用程序页上,单击用户配置文件服务应用程序的链接。
在"管理配置文件服务"页上的"同步"部分,单击"配置同步连接"。
在"同步连接"页上,单击"新建连接"。
在"添加新的同步连接"页上的"连接名称"框中,键入同步连接的名称。
从"类型"列表中,选择"Active Directory 导入"。
通过完成以下步骤填写"连接设置"部分:
在"完全限定域名"框中,键入域的完全限定域名。
在"验证提供程序类型"框中,选择验证提供程序的类型。
如果选择"表单身份验证"或"受信任声明提供程序验证",请从"验证提供程序实例"框中选择验证提供程序。
"验证提供程序实例"框中仅列出了 Web 应用程序当前使用的身份验证提供程序。
在帐户名框中,键入您想广告导入工具用于执行同步的帐户的名称。使用窗体*<DOMAIN>\<UserName>*。同步帐户必须复制目录的权限或更高版本上根 AD ds 的 OU。
在密码和确认密码框中,键入该帐户的密码。
在"端口"框中,键入您希望 AD 导入工具在执行同步时用来连接到 AD DS 的连接端口。
如果在连接到目录服务时需要安全套接字层 (SSL) 连接,请选择"使用安全 SSL 连接"。
重要
如果使用 SSL 连接,则必须从 AD DS 服务器导出域控制器的证书,并将证书导入到同步服务器。
如果想要筛选出在 AD DS 中禁用的用户,请选择筛选出禁用的用户复选框。
如果希望筛选要从目录服务中导入的对象,请在"在 Active Directory 导入的 LDAP 语法中筛选"框中,键入标准 LDAP 查询表达式以定义筛选器。
在"容器"部分,单击"填充容器",然后从目录服务中选择要同步的容器。选择的所有组织单位 (OU) 都将与其子 OU 同步。目前没有任何实用程序允许选择父 OU 且将其任何子 OU 从同步中排除。
单击"确定"。
新建的连接列在"同步连接"页上。
提示
在同步连接页面上,可以单击同步连接的名称,然后单击编辑或删除,来编辑或删除连接。
若要将用户配置文件属性的映射
在 SharePoint 管理中心网站上的"应用程序管理"部分,单击"管理服务应用程序"。
在管理服务应用程序页中,单击用户配置文件服务应用程序的链接。
在"管理配置文件服务"页上的"人员"部分,单击"管理用户属性"。
在管理用户属性页上,单击要映射到目录服务的属性,该属性的名称,然后单击编辑。
若要删除现有映射,请在"同步的属性映射"部分,选择要删除的映射,然后单击"删除"。
若要添加新映射,请执行以下操作:
在"添加新映射"部分的"源数据连接"列表中,选择表示要向其映射用户配置文件属性的目录服务的数据连接。
在"属性"框中,键入要将属性映射到的目录服务属性的名称。
单击"添加"。
备注
无法添加多个映射或编辑某个映射。若要更改属性的映射设置,必须首先删除现有映射,然后创建新映射。
单击"确定"。
重复步骤 4 至 7 以映射其他属性。
启动配置文件同步
在 SharePoint 管理中心网站上的"应用程序管理"部分,单击"管理服务应用程序"。
在管理服务应用程序页上,单击用户配置文件服务应用程序链接。
在"管理配置文件服务"页上的"同步"部分,单击"启动配置文件同步"。
在"启动配置文件同步"页上,如果这是第一次同步或者在上次同步后添加或修改了任何同步连接,请选择"启动完全同步"。选择"启动增量同步"可以仅同步自上次同步后更改的信息。
单击"确定"。
将显示"管理配置文件服务"页,其中在右侧窗格中显示配置文件的同步状态。
See also
管理 SharePoint 服务器中的用户配置文件同步
为 SharePoint Server 2013 规划配置文件同步
在 SharePoint Server 2013 中同步用户和组配置文件
安排在 SharePoint 服务器的配置文件同步