Configure profile synchronization by using SharePoint Active Directory Import in SharePoint Server

  • Artikel

 

**Gilt für:**SharePoint Server 2016

**Letztes Änderungsdatum des Themas:**2018-02-28

Zusammenfassung: Hier erfahren Sie, wie Sie Benutzerprofile aus Active Directory in SharePoint Server 2013 und SharePoint Server 2016 importieren können, indem Sie das Active Directory-Importtool für Benutzerprofile verwenden.

Sie können die SharePoint-Option "Active Directory-Import" (AD-Import) alternativ zu Microsoft Identity Manager (MIM) verwenden, um Benutzerprofildaten aus Active Directory-Domänendienste (Active Directory Domain Services, AD DS) in Ihre Domäne zu importieren.

Importvorgänge mit AD-Import sind wesentlich schneller als die gleichen Vorgänge unter Verwendung von MIM. AD-Import funktioniert jedoch nur mit Active Directory-Domänendiensten (AD DS) und nicht mit anderen Verzeichnisdiensten. Wenn Sie darüber hinaus, AD-Import verwenden möchten, sind MIM oder andere externe Identität-Manager sind nicht für Verbindungen mit anderen Datenquellen wie z. B. Geschäftsanwendungen verfügbar.

Zum Ausführen der Verfahren in diesem Artikel müssen Sie Mitglied der Gruppe Farmadministratoren sein. Sie benötigen ferner die Anmeldeinformationen für die Domäne mit Synchronisierungsberechtigungen, um die Verbindung zu konfigurieren.

Hinweis

MIM ist ein externer Anbieter, der nur in SharePoint Server 2016 verfügbar ist.

Situationen, die nicht von AD-Import unterstützt werden

Berücksichtigen Sie folgende Situationen, und beachten Sie, was die Option für den AD-Import nicht unterstützt, wenn Sie sich für die Verwendung dieser Option entscheiden:

  • Die AD-Importoption führt keine bidirektionale Synchronisierung durch. Das bedeutet, dass Änderungen, die an SharePoint-Benutzerprofilen vorgenommen wurden, nicht zurück auf den Domänencontroller synchronisiert werden.

  • Referenzielle Integrität zwischen Benutzern und Gruppen wird nur innerhalb einer einzigen Active Directory-Gesamtstruktur aufrechterhalten.

  • Bei der Option für den AD-Import können Sie nur eine einzige, farmweite Eigenschaftenzuordnung konfigurieren und verwenden.

  • Die Option AD-Import synchronisiert Fotos aus Active Directory nicht automatisch mit SharePoint Server 2016.

  • Die AD-Importoption unterstützt keine generischen (nicht-AD) LDAP-Quellen.

  • Die AD-Importoption unterstützt die Quellschemaermittlung nicht.

  • Die AD-Importoption unterstützt Szenarios mit mehreren Gesamtstrukturen nicht. Beispiel:

    • Wenn eine Vertrauensstellung zwischen zwei Gesamtstrukturen besteht, werden die vertrauenswürdigen Strukturobjekte nicht importiert.

    • Wenn Sie Benutzer aus mehreren Domänen importieren, müssen Sie mehrere Synchronisierungsverbindungen erstellen. Wenn Sie mehrere Domänen verwalten müssen, verwenden Sie MIM.

  • Die AD-Importoption unterstützt keine Kontaktobjekte (auch als objektübergreifende Verweise bezeichnet).

  • Die AD-Importoption unterstützt neben Benutzern und Gruppen keine benutzerdefinierten Objektklassen.

  • Die AD-Importoption filtert die Benutzeroberfläche nicht, um komplexe boolesche Ausdrücke zu erstellen.

  • Die AD-Importoption bietet keinen Objektfilter auf Grundlage der Objekteigenschaftswerte (Sie müssen einfache LDAP-Filter verwenden).

  • Die AD-Importoption bietet keine Anmelde- und Ressourcenstrukturunterstützung, d. h. benutzerdefinierte Verknüpfungen von Daten aus mehreren Quellen.

  • Die AD-Importoption unterstützt den Business Connectivity Services-Import nicht.

  • Die AD-Importoption unterstützt Eigenschaftszuordnungen für komplexe Typen wie Bilder und spezielle AD-Typen nicht.

  • Die AD-Importoption unterstützt das Exportieren von Daten aus SharePoint in Verzeichnisquellen nicht.

  • Die AD-Importoption unterstützt das Aktualisieren/Übersetzen von FIM-basierten Verbindungen und das Synchronisieren der Konfiguration mit dem AD-Import (oder in umgekehrter Reihenfolge) nicht.

  • Die AD-Importoption stellt Single-Master der einzelnen Objekteigenschaften (zur Zeit gewinnt der letzte Schreiber) nicht sicher.

  • Die AD-Importoption führt keine Eigenschaftszuordnung pro Mandant durch.

So richten Sie den SharePoint Active Directory-Import ein

In der Zentraladministration führen Sie drei Verfahren aus, um den AD-Import zu konfigurieren.

Im ersten Schritt konfigurieren Sie SharePoint Server, sodass AD-Import statt eines externen Identität-Managers, z. B. MIM verwendet wird.

In der zweiten Prozedur erstellen Sie eine Synchronisierungsverbindung mit AD DS. Die Verbindung identifiziert die Elemente für die Synchronisierung und enthält die Anmeldeinformationen, die für die Interaktion mit AD DS verwendet werden.

Im dritten Verfahren legen Sie fest, wie die Eigenschaften von SharePoint Server-Benutzerprofilen den aus dem AD DS abgerufenen Benutzerinformationen zugeordnet werden sollen.

Konfiguration von SharePoint Server für die Verwendung von AD-ImportOffice Online Server

  1. Klicken Sie in der die Website für die SharePoint-Zentraladministration im Abschnitt Anwendungsverwaltung auf Dienstanwendungen verwalten.

  2. Klicken Sie auf der Seite Dienstanwendungen verwalten auf den Link für die Benutzerprofildienst-Anwendung.

  3. Klicken Sie auf der Seite Profildienst verwalten im Abschnitt Synchronisierung auf Synchronisierungseinstellungen konfigurieren.

  4. Wählen Sie auf der Seite Synchronisierungseinstellungen konfigurieren im Abschnitt Synchronisierungsoptionen die Option SharePoint Active Directory-Import verwenden aus, und klicken Sie dann auf OK.

Um Profile importieren zu können, benötigen Sie mindestens eine Synchronisierungsverbindung zu AD DS. Sie können auch Verbindungen zu mehreren AD DS-Servern haben. Mit dem folgenden Verfahren erstellen Sie eine Synchronisierungsverbindung zu jedem AD DS-Server, von dem Sie Profile importieren möchten. Sie können die Synchronisierung jeweils nach dem Erstellen einer Verbindung ausführen oder, nachdem Sie alle Verbindungen erstellt haben. Die Synchronisierung nach jeder einzelnen Verbindung dauert zwar länger, allerdings können bei dieser Vorgehensweise etwaige Probleme schneller behoben werden.

So erstellen Sie für den Import eine Verbindung zu einem Verzeichnisdienst

  1. Klicken Sie in der die Website für die SharePoint-Zentraladministration im Abschnitt Anwendungsverwaltung auf Dienstanwendungen verwalten.

  2. Klicken Sie auf der Seite Dienstanwendungen verwalten auf den Link für die Benutzerprofildienst-Anwendung.

  3. Klicken Sie auf der Seite Profildienst verwalten im Abschnitt Synchronisierung auf Synchronisierungsverbindungen konfigurieren.

  4. Klicken Sie auf der Seite Synchronisierungsverbindungen auf Neue Verbindung herstellen.

  5. Geben Sie auf der Seite Neue Synchronisierungsverbindung hinzufügen im Feld Verbindungsname den Namen der Synchronisierungsverbindung ein.

  6. Wählen Sie in der Liste Typ die Option Active Directory-Import aus.

  7. Führen Sie im Abschnitt Verbindungseinstellungen die folgenden Schritte aus:

    1. Geben Sie im Feld Vollqualifizierter Domänenname den vollqualifizierten Domänennamen der Domäne ein.

    2. Wählen Sie im Feld Authentifizierungsanbietertyp den Typ des Authentifizierungsanbieters aus.

    3. Wenn Sie Formularauthentifizierung oder Vertrauenswürdige Forderungsanbieterauthentifizierung auswählen, wählen Sie im Feld Authentifizierungsanbieterinstanz einen Authentifizierungsanbieter aus.

      Im Feld Authentifizierungsanbieterinstanz werden nur die Authentifizierungsanbieter aufgelistet, die derzeit von einer Webanwendung verwendet werden.

    4. Geben Sie im Feld Kontoname den Namen des Kontos, das das AD-Importtool für die Synchronisierung verwenden soll, in folgendem Format ein: <DOMAIN>\<UserName>. Das Synchronisierungskonto muss über die Berechtigung "Verzeichnisänderungen replizieren" oder höher für die Stammorganisationseinheit von AD DS verfügen.

    5. Geben Sie in den Feldern Kennwort und Kennwort bestätigen jeweils das Kennwort für das Konto ein.

    6. Geben Sie im Feld Port den Verbindungsport ein, mit dem das AD-Importtool eine Verbindung mit AD DS für die Synchronisierung herstellen soll.

    7. Wenn für die Verbindung mit dem Verzeichnisdienst eine SSL-Verbindung (Secure Sockets Layer) erforderlich ist, wählen Sie SSL-gesicherte Verbindung verwenden aus.

      Wichtig

      Wenn Sie eine SSL-Verbindung verwenden, müssen Sie das Zertifikat des Domänencontrollers vom AD&nbsp;DS-Server exportieren und dieses auf dem Synchronisierungsserver importieren.

    8. Wenn Sie Benutzern herauszufiltern, die in AD DS, deaktiviert sind, wählen Sie Deaktivierte Benutzer herausfiltern aus.

    9. Wenn Sie die aus dem Verzeichnisdienst zu importierenden Objekte filtern möchten, geben Sie im Feld Filter in LDAP-Syntax für Active Directory-Import einen Standard-LDAP-Abfrageausdruck ein, um den Filter zu definieren.

  8. Klicken Sie im Abschnitt Container auf Container mit Daten auffüllen, und wählen Sie dann im Verzeichnisdienst die zu synchronisierenden Container aus. Alle ausgewählten Organisationseinheiten werden mit ihren untergeordneten Organisationseinheiten synchronisiert. Derzeit gibt es kein Hilfsprogramm zum Auswählen einer übergeordneten Organisationseinheit und gleichzeitigen Ausklammern der untergeordneten Organisationseinheiten von der Synchronisierung.

  9. Klicken Sie auf OK.

    Die neu erstellte Verbindung wird auf der Seite Synchronisierungsverbindungen aufgeführt.

    Tipp

    Sie können auf der Seite Synchronisierungsverbindungen auf den Namen einer Synchronisierungsverbindung klicken und dann auf Bearbeiten oder Löschen klicken, um die betreffende Verbindung zu bearbeiten oder zu löschen.

So ordnen Sie Benutzerprofileigenschaften zu

  1. Klicken Sie in der die Website für die SharePoint-Zentraladministration im Abschnitt Anwendungsverwaltung auf Dienstanwendungen verwalten.

  2. Klicken Sie auf der Seite Dienstanwendungen verwalten auf den Link für die Benutzerprofildienst-Anwendung.

  3. Klicken Sie auf der Seite Profildienst verwalten im Abschnitt Personen auf Benutzereigenschaften verwalten.

  4. Klicken Sie auf der Seite Benutzereigenschaften verwalten auf den Namen der Eigenschaft, die Sie einem Verzeichnisdienstattribut zuordnen möchten, und klicken Sie auf Bearbeiten.

  5. Um eine vorhandene Zuordnung zu entfernen, wählen Sie im Abschnitt Eigenschaftenzuordnung für die Synchronisierung die zu entfernende Zuordnung aus, und klicken Sie auf Entfernen.

  6. Wenn Sie eine neue Zuordnung hinzufügen möchten, führen Sie die folgenden Schritte aus:

    1. Wählen Sie im Abschnitt Neue Zuordnung hinzufügen in der Liste Quelldatenverbindung die Datenverbindung aus, die dem Verzeichnisdienst entspricht, dem Sie die Benutzerprofileigenschaft zuordnen möchten.

    2. Geben Sie im Feld Attribut den Namen des Verzeichnisdienstattributs ein, dem Sie die Eigenschaft zuordnen möchten.

    3. Klicken Sie auf Hinzufügen.

      Hinweis

      Es ist nicht möglich, eine Zuordnung zu bearbeiten oder mehrere Zuordnungen hinzuzufügen. Wenn Sie Zuordnungseinstellungen für eine Eigenschaft ändern möchten, müssen Sie zuerst die vorhandene Zuordnung entfernen und dann eine neue Zuordnung erstellen.

  7. Klicken Sie auf OK.

  8. Wiederholen Sie die Schritte 4 bis 7, wenn Sie weitere Eigenschaften zuordnen möchten.

So starten Sie die Profilsynchronisierung

  1. Klicken Sie in der die Website für die SharePoint-Zentraladministration im Abschnitt Anwendungsverwaltung auf Dienstanwendungen verwalten.

  2. Klicken Sie auf der Seite Dienstanwendungen verwalten auf den Link für die Benutzerprofildienst-Anwendung.

  3. Klicken Sie auf der Seite Profildienst verwalten im Abschnitt Synchronisierung auf Profilsynchronisierung starten.

  4. Wenn es sich um die erste Synchronisierung überhaupt handelt, oder wenn Sie seit der letzen Synchronisierung Synchronisierungsverbindungen hinzugefügt oder geändert haben, wählen Sie auf der Seite Profilsynchronisierung starten die Option Vollständige Synchronisierung starten aus. Wählen Sie Inkrementelle Synchronisierung starten aus, um nur die Informationen zu synchronisieren, die sich seit der letzten Synchronisierung geändert haben.

  5. Klicken Sie auf OK.

    Die Seite Profildienst verwalten wird angezeigt, auf der Sie im rechten Bereich den Status der Profilsynchronisierung sehen.

See also

Verwalten der Benutzerprofilsynchronisierung in SharePoint Server
Planen der Profilsynchronisierung für SharePoint Server 2013 Preview
Synchronisieren von Benutzer- und Gruppenprofilen in SharePoint Server 2013 Preview
Planen einer profilsynchronisierung in SharePoint Server

Update-SPProfilePhotoStore