Auflösen von Konten über mehrere Gesamtstrukturen hinweg (SharePoint Server 2010)
Gilt für: SharePoint Server 2010
Letztes Änderungsdatum des Themas: 2016-11-30
Microsoft SharePoint Server 2010 kann in verschiedenen Konfigurationen der Active Directory-Domänendienste (Active Directory Domain Services) bereitgestellt werden, unter anderem in Umgebungen mit einer Gesamtstruktur oder mit mehreren Gesamtstrukturen.
Es gibt bei der Planung der Bereitstellung von SharePoint Server 2010 über mehrere Gesamtstrukturen hinweg zwei primäre Konfigurationen:
Bei der Ressourcengesamtstruktur-Bereitstellung werden zwei oder mehr Gesamtstrukturen mit einer einzigen Anmeldegesamtstruktur konfiguriert, die Benutzerkonten enthält, denen von einer oder mehreren Ressourcendomänen, die Datei- und Anwendungsserver enthalten, vertraut wird.
Bei Bereitstellungen mit mehreren Anmeldegesamtstrukturen sind zwei oder mehr Gesamtstrukturen vorhanden, die Benutzerkonten enthalten, über die mithilfe von bidirektionalen Vertrauensstellungen auf Ressourcen zugegriffen wird.
Hinweis
Es muss mindestens eine unidirektionale Vertrauensstellung zwischen den Gesamtstrukturen bestehen, damit die in diesem Artikel beschriebenen Verfahren richtig ausgeführt werden.
Weitere Informationen zum Auflösen von Konten über mehrere Gesamtstrukturen hinweg sowie eine Abbildung, in der die Beziehung zwischen den Gesamtstrukturen gezeigt wird, finden Sie im Microsoft SharePoint-Teamblog (https://go.microsoft.com/fwlink/?linkid=186152&clcid=0x407).
Ressourcengesamtstruktur-Bereitstellung
Es ist eine Ressourcengesamtstruktur-Konfiguration vorhanden, in der sich alle Benutzerkonten in einer oder mehreren Gesamtstrukturen der obersten Ebene befinden. Alle Benutzer verwenden Anmeldeinformationen aus diesen Gesamtstrukturen, um sich anzumelden. Die Ressourcenserver, beispielsweise Microsoft Exchange Server und SharePoint Server 2010, sind in einer separaten Ressourcengesamtstruktur installiert, in der eine unidirektionale Vertrauensstellung mit den einzelnen Kontogesamtstrukturen besteht. Die Ressourcengesamtstruktur enthält nicht für Anmeldungen ausgeblendete Konten für jeden Benutzer, der auf die Ressourcengesamtstruktur zugreift, die Metadaten zum Benutzer enthält, die auf der ms-ds-Source-Object-Eigenschaft des Benutzerkontos basieren.
Bei dieser Bereitstellungsart erhält SharePoint Server 2010 Active Directory-Informationen aus einem Container im Verzeichnis der Ressourcengesamtstruktur. Diese Informationen werden als Grundlage für die Benutzerprofile und die Erstellung von Meine Website-Websites verwendet.
Bereitstellungen mit mehreren Anmeldegesamtstrukturen
Bei einer Bereitstellung mit mehreren Anmeldegesamtstrukturen werden die Benutzerkonten auf zwei oder mehr Gesamtstrukturen verteilt. In der Regel bestehen zwischen allen Gesamtstrukturen bidirektionale Vertrauensstellungen. Dieses Szenario ist oft das Ergebnis einer Fusion zwischen Organisationen, bei der die Entscheidung getroffen wurde, die vorhandenen Gesamtstrukturen aufrechtzuerhalten und den Benutzern den Zugriff auf Ressourcen in allen Gesamtstrukturen zu ermöglichen. Da viele vorhandene Anwendungen auf die Gesamtstrukturen angewiesen sind, in der die Anwendungen bereitgestellt sind, wird einigen Benutzern in jeder Gesamtstruktur, auf die sie zugreifen müssen, ein Konto erteilt.
Bei dieser Bereitstellungsart wird SharePoint Server 2010 in einer der Gesamtstrukturen bereitgestellt mit Verzeichnisverbindungen mit jeder Gesamtstruktur, in der sich Benutzerkonten befinden. Dann müssen Sie das Attribut für den definierten Namen (ms-ds-Source-Object-DN) im Benutzerobjekt verwenden, um eine Zuordnung zwischen den Konten des Benutzers zu erstellen. In dieser Beziehung zwischen mehreren Konten, die zu einem einzigen Benutzer gehören, wird ein Konto als primäres Konto betrachtet. Alle anderen Konten werden als alternative primäre Konten betrachtet. Sie können diese Beziehung zwischen Benutzerkontenobjekten mithilfe von Microsoft Forefront Identity Manager erstellen.
Die erwartete Verwendung der verschiedenen Features durch den Benutzer wird in der folgenden Tabelle beschrieben:
| Feature | Verwendung durch den Benutzer |
|---|---|
Profilseite und Objektmodell |
Die Liste der alternativen Konten, durch die das Profil identifiziert wird, wird von SharePoint Server 2010 verwaltet. Wenn Sie eines der Konten zum Suchen des Profils eines Benutzers verwenden, wird von SharePoint Server 2010 das primäre Kontoprofil zurückgegeben. |
Meine Website |
Wenn Sie eine Meine Website-Website erstellen, wird von SharePoint Server 2010 zum Erstellen der Website das primäre Konto des Benutzers verwendet. Alle alternativen Konten werden der Website automatisch als Administratoren hinzugefügt. |
Personensuche |
Bei der Suche nach Personen werden die primären Kontoinformation für den Benutzer zurückgegeben. |
Benutzergruppen |
Für Benutzergruppen in SharePoint Server 2010 werden nur primäre Konten verwendet. Eine Regel, die ein alternatives Konto für einen Benutzer enthält, verwendet intern das primäre Konto für diesen Benutzer. Da primäre und alternative Konten zusammengeführt werden, ist die Verwaltungshierarchie bei primären und alternativen Konten gleich. |
Importieren aus Geschäftsdatenkatalog |
Da SharePoint Server 2010 auf die primären Kontoinformationen für die einzelnen Benutzer angewiesen ist, werden nur Daten importiert, die anhand des primären Benutzerkontos identifiziert werden können. Verwenden Sie beim Erstellen einer Liste der Benutzer im Geschäftsdatenkatalog das primäre Konto der einzelnen Benutzer. |
Synchronisierung von Mitgliedschaften |
Websites, zu denen ein Benutzer sowohl mit einem primären als auch mit einem alternativen Konto gehört, werden von SharePoint Server 2010 so behandelt, als gehörten alle zum gleichen Benutzerkonto. Zur Erzeugung einer genaueren Liste der Websitemitgliedschaften muss von SharePoint Server 2010 eine Abfrage wie SELECT docs FROM member site WHERE author = Domäne1\Benutzer OR author = Domäne2\Benutzer verwendet werden. Damit wird eine Liste erzeugt, die die Websites enthält, in denen der Benutzer mit einem seiner Benutzerkonten Mitglied ist. |
Profilsynchronisierung |
Alle am Benutzerprofil vorgenommenen Änderungen werden an alle dem Benutzer zugeordnetem Benutzerkonten repliziert. Dadurch wird sichergestellt, dass Änderungen wie beispielsweise das Hinzufügen eines Bilds zum Profil in Meine Website mit allen SharePoint Server 2010-Websites synchronisiert werden. Dabei spielt es keine Rolle, welches Konto der Benutzer für die Anmeldung verwendet. |
Vorbereiten der Front-End-Webserver
Von der Personenauswahl werden bei der Suche nach Benutzern und Gruppen mithilfe des Anwendungspoolkontos automatisch Abfragen an alle bidirektional vertrauenswürdigen Domänen ausgegeben. Wenn Sie in der Personenauswahl ein sekundäres Konto auswählen, werden die primären Kontoinformationen zurückgegeben.
Für unidirektionale Vertrauensstellungen müssen Sie die folgenden Informationen bereitstellen:
Anmeldeinformationen mit Berechtigung zum Abfragen der Gesamtstruktur
Einen Verschlüsselungsschlüssel, der von der Personenauswahl beim Ausführen einer Abfrage verwendet wird
Verwenden Sie das folgende Verfahren, um den Verschlüsselungsschlüssel für die einzelnen SharePoint Server 2010-Front-End-Webserver, von denen dieses Konto verwendet werden soll, vorzubereiten.
Hinweis
Für die Verfahren in dieser Aufgabe muss das Befehlszeilentool Stsadm verwendet werden. Das Befehlszeilentool Stsadm ist in dieser Version veraltet, aber weiterhin vorhanden, um die Kompatibilität mit früheren Produktversionen zu gewährleisten.
So bereiten Sie die Front-End-Webserver vor
Klicken Sie im Startmenü mit der rechten Maustaste auf Eingabeaufforderung, und klicken Sie dann auf Als Administrator ausführen.
Geben Sie folgenden Befehl ein:
stsadm.exe -o setapppassword -password <key>Dabei ist <Schlüssel> der Verschlüsselungsschlüssel, der für die Webanwendung festgelegt werden soll.
Registrieren von Anmeldeinformationen über Gesamtstrukturen hinweg
Die Zuordnung von Benutzerkonten aus mehreren Gesamtstrukturen kann von SharePoint Server 2010 überwacht werden, um eine nahtlose Verwendung durch den Benutzer zu ermöglichen. Zum Einrichten dieser Kontobeziehung verwenden Sie wie im folgenden Verfahren gezeigt das Befehlszeilentool Stsadm.
Zum Ausführen der folgenden Schritte müssen Sie Mitglied der Gruppe Farmadministratoren auf dem Server mit SharePoint Server 2010 sein.
So registrieren Sie Anmeldeinformationen über Gesamtstrukturen hinweg
Klicken Sie im Startmenü mit der rechten Maustaste auf Eingabeaufforderung, und klicken Sie dann auf Als Administrator ausführen.
Geben Sie folgenden Befehl ein:
stsadm.exe -o setproperty -url <http://server:port> -pn "peoplepicker-searchadforests" -pv "<forest:contoso.com;domain:corp.contoso.com>", <LoginName>,<Password>, <Key>Dabei gilt Folgendes:
<http://Server:Port> ist die URL der Webanwendung, der Sie Zugriff gewähren.
<forest:contoso.com;domain:corp.contoso.com> ist der qualifizierte Name der Gesamtstruktur und der Domäne, in der nach dem Benutzerkonto gesucht werden soll.
<Anmeldename> ist der Kontoname des Benutzers.
<Kennwort> ist das Kennwort des Benutzers.
<Schlüssel> ist der Verschlüsselungsschlüssel, der für die Webanwendung festgelegt werden soll.