Resolver cuentas en varios bosques (SharePoint Server 2010)
Se aplica a: SharePoint Server 2010
Última modificación del tema: 2016-11-30
Microsoft SharePoint Server 2010 se puede implementar en varias configuraciones de Servicios de dominio de Active Directory, incluidos entornos de bosque único y de varios bosques.
Cuando se planea implementar SharePoint Server 2010 en varios bosques, existen dos configuraciones principales:
Implementación de bosques de recursos donde hay dos o más bosques configurados con un bosque de inicio de sesión único que contiene las cuentas de usuario que son de confianza para uno o varios dominios de recursos que contienen servidores de aplicaciones y de archivos.
Implementaciones de bosques de múltiples inicios de sesión donde hay dos o más bosques que contienen las cuentas de usuario que tienen acceso a los recursos a través de confianzas bidireccionales.
Nota
Debe haber al menos una confianza unidireccional entre los bosques para que los procedimientos descritos en este artículo funcionen correctamente.
Para obtener más información acerca de los procedimientos para resolver cuentas en varios bosques y para ver una ilustración que muestra la relación entre los bosques, vea el blog del equipo de Microsoft SharePoint (https://go.microsoft.com/fwlink/?linkid=186152&clcid=0xC0A).
Implementación de bosques de recursos
La configuración de un bosque de recursos tiene lugar donde todas las cuentas de usuario se encuentran en uno o varios bosques de nivel superior. Todos los usuarios usan las credenciales de estos bosques para iniciar sesión. Los servidores de recursos, como Microsoft Exchange Server y SharePoint Server 2010, se instalan en un bosque de recursos aparte, el cual mantiene una confianza unidireccional con cada bosque de cuentas. El bosque de recursos contiene cuentas sombreadas, que no son de inicio de sesión, para cada usuario que accede al bosque de recursos, que contiene metadatos sobre el usuario basados en la propiedad ms-ds-Source-Object de la cuenta de usuario.
En este tipo de implementaciones, SharePoint Server 2010 obtiene información de Active Directory de un contenedor en el directorio del bosque de recursos y se basa en esa información para la creación de perfiles de usuario y del sitio web Mi sitio.
Implementaciones de bosques de múltiples inicios de sesión
En una implementación de bosque de múltiples inicios de sesión, las cuentas de usuario se distribuyen entre dos o más bosques. Normalmente, existen confianzas bidireccionales entre todos los bosques. Esta situación suele ser el resultado de una fusión entre organizaciones donde se tomó esta decisión para mantener los bosques existentes y proporcionar a los usuarios acceso a los recursos de cada bosque. Debido a que muchas de las aplicaciones existentes dependen de la estructura de bosque en la que se implementan, algunos usuarios tienen una cuenta en cada bosque al que necesitan tener acceso.
En este tipo de implementaciones, SharePoint Server 2010 se implementa en uno de los bosques con conexiones de directorio a cada bosque donde residen las cuentas de usuario. A continuación, se debe usar el atributo de nombre distintivo (ms-ds-Source-Object-DN) en el objeto de usuario para crear una asociación entre las cuentas del usuario. En esta relación entre varias cuentas que pertenecen a un único usuario, una cuenta se considera la cuenta principal y todas las demás cuentas se consideran alternativas de la principal. Puede usar el Administrador de identidades de Microsoft Forefront para crear esta relación entre objetos de cuenta de usuario.
Las experiencias de usuario esperadas para diversas características se enumeran en la tabla siguiente:
| Característica | Experiencia del usuario |
|---|---|
Página de perfil y modelo de objetos |
SharePoint Server 2010 mantiene la lista de cuentas alternativas mediante las cuales se identifica el perfil. Cuando se usa una de estas cuentas para encontrar el perfil de un usuario, SharePoint Server 2010 devuelve el perfil de la cuenta principal. |
Mi sitio |
Cuando se crea un sitio web Mi sitio, SharePoint Server 2010 usa la cuenta principal del usuario para crearlo. Todas las cuentas alternativas se agregan automáticamente al sitio como los administradores. |
Búsqueda de personas |
La búsqueda de personas devuelve la información de la cuenta principal del usuario. |
Audiencias |
Las audiencias en SharePoint Server 2010 usan únicamente cuentas principales. Cualquier regla que contenga una cuenta alternativa para un usuario, usará la cuenta principal de ese usuario internamente. Debido a que la cuenta principal y las alternativas se concilian, la jerarquía de administración será la misma para la cuenta principal y las alternativas. |
Importación desde el Catálogo de datos profesionales |
Debido a que SharePoint Server 2010 depende de la información de cuenta principal de cada usuario, solo se importan los datos que pueden identificar la cuenta de usuario principal. Al crear una lista de usuarios en el Catálogo de datos profesionales, use la cuenta principal de cada usuario. |
Sincronización de pertenencias a grupos |
SharePoint Server 2010 trata los sitios a los que pertenece un usuario con cuentas principales y alternativas como si todos pertenecieran a la misma cuenta de usuario. Para obtener una lista más precisa de pertenencias a sitios, SharePoint Server 2010 debe usar una consulta igual a "SELECT docs FROM member site WHERE author = domain1\user OR author = domain2\user" para obtener una lista que contenga los sitios a los que pertenece el usuario con cualquiera de las cuentas del usuario. |
Sincronización de perfiles |
Los cambios realizados en el perfil de usuario se replican en todas las cuentas de usuario asociadas con el usuario. Esto garantiza que los cambios, como agregar una imagen en el perfil de Mi sitio, se sincronicen con todos los sitios de SharePoint Server 2010, independientemente de la cuenta con que el usuario inicie sesión. |
Preparación de los servidores front-end web
Cuando el selector de personas usa la cuenta de grupo de aplicaciones para buscar usuarios y grupos, emite automáticamente consultas para todos los dominios de confianza bidireccional. Cuando se selecciona una cuenta secundaria en el selector de personas, se devuelve la información de la cuenta principal.
Debe proporcionar la siguiente información para las confianzas unidireccionales:
Credenciales de inicio de sesión con permisos para realizar consultas en el bosque
Clave de cifrado que se va a usar cuando el selector de personas esté realizando una consulta
Realice el procedimiento siguiente para preparar la clave de cifrado para cada uno de los servidores front-end web de SharePoint Server 2010 que va a usar esta cuenta.
Nota
Los procedimientos descritos en esta tarea requieren el uso de la herramienta de línea de comandos Stsadm. Esta herramienta está desusada en esta versión, pero se incluye para que sea compatible con versiones anteriores del producto.
Para preparar los servidores front-end web
Haga clic en Inicio, haga clic con el botón secundario en Símbolo del sistema y, a continuación, haga clic en Ejecutar como administrador.
Escriba el siguiente comando:
stsadm.exe -o setapppassword -password <key>donde <key> es la clave de cifrado que se debe establecer para la aplicación web.
Registro de credenciales en los bosques
SharePoint Server 2010 puede realizar un seguimiento de una asociación entre cuentas de usuario de varios bosques para proporcionar una experiencia de usuario más libre. Use la herramienta de línea de comandos Stsadm para establecer esta relación entre cuentas, tal como se muestra en el siguiente procedimiento.
Para realizar los pasos siguientes debe pertenecer al grupo Administradores del comjunto o granja de servidores en el servidor que ejecuta SharePoint Server 2010.
Para registrar credenciales en los bosques
Haga clic en Inicio, haga clic con el botón secundario en Símbolo del sistema y, a continuación, haga clic en Ejecutar como administrador.
Escriba el siguiente comando:
stsadm.exe -o setproperty -url <http://server:port> -pn "peoplepicker-searchadforests" -pv "<forest:contoso.com;domain:corp.contoso.com>", <LoginName>,<Password>, <Key>donde:
<http://server:port> es la dirección URL de la aplicación web a la que se concederá acceso.
<forest:contoso.com;domain:corp.contoso.com> es el nombre completo del bosque y el dominio para buscar la cuenta de usuario.
<LoginName> es el nombre de cuenta del usuario.
<Password> es la contraseña del usuario.
<key> es la clave de cifrado que se debe establecer para la aplicación web.