Gestire la sincronizzazione di Active Directory in Project Server 2007
Aggiornamento: agosto 2008
Ultima modifica dell'argomento: 2015-02-27
È possibile sincronizzare gli utenti e le risorse di Project Server con gli utenti del servizio directory Active Directory in più domini e foreste. Questa funzionalità evita agli amministratori la necessità di eseguire determinate attività, ad esempio l'aggiunta manuale di un numero elevato di utenti, l'aggiornamento dei metadati degli utenti, quali gli indirizzi di posta elettronica, e la disattivazione degli utenti per i quali non è più richiesto l'accesso al sistema. La sincronizzazione di Active Directory può essere eseguita manualmente oppure automaticamente in base a una pianificazione. La sincronizzazione di Active Directory determina esclusivamente la modifica dei dati di Project Server. I dati di Active Directory non vengono mai modificati, poiché su tali dati vengono eseguite solo delle query.
Aggiornamento delle proprietà di utenti e risorse di Project Server durante la sincronizzazione
L'esecuzione della sincronizzazione determina l'aggiornamento da parte di Project Server 2007 delle proprietà degli utenti e delle risorse seguenti con campi di metadati degli utenti di Active Directory specifici:
| Proprietà utente di Active Directory | Proprietà utente/risorsa di Project Server |
|---|---|
ADGUID (UserObject.objectGUID) |
Memorizzata nel database Published di Project Server (campo WRES_AD_GUID nella tabella MSP_RESOURCES). Questa proprietà non è visualizzabile nell'interfaccia utente di Project Web Access. |
Account utente di Windows (dominio\sAMAccountName) |
Account utente di Windows |
Nome visualizzato (UserObject.displayName) |
Nome visualizzato/Nome risorsa |
Indirizzo di posta elettronica (UserObject.mail) |
Indirizzo di posta elettronica |
Reparto (UserObject.department) |
Gruppo (solo la proprietà della risorsa)
|
È possibile personalizzare la sincronizzazione di Active Directory per eseguire il mapping a campi di metadati aggiuntivi tramite gestori sul lato server. Per ulteriori informazioni sui gestori sul lato server, vedere Scrittura e debug di gestori di eventi per Project Server 2007 (informazioni in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=126633\&clcid=0x410) (informazioni in lingua inglese) in MSDN Library.
È possibile eseguire il mapping dei campi di Active Directory aggiuntivi ai campi personalizzati risorse tramite l'utilità di sincronizzazione Active Directory/risorse di Project Server 2007 (informazioni in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=126634\&clcid=0x410) (informazioni in lingua inglese) disponibile nel sito CodePlex.
[!NOTA] Microsoft non si occupa di controllare, esaminare, modificare, approvare o distribuire i progetti di terze parti nel sito CodePlex. Utilizzare questi progetti a proprio rischio. Microsoft ospita il sito CodePlex solo come sito di archiviazione Web in qualità di servizio per la community di sviluppatori.
Procedure ottimali per la sincronizzazione di Active Directory
Di seguito vengono illustrate le procedure ottimali consigliate da Microsoft per la gestione della sincronizzazione di Active Directory in Project Server 2007:
Creare gruppi di Active Directory specifici che corrispondano a ogni gruppo di protezione di Project Server e al pool di risorse dell'organizzazione di Project Server. Assegnare ai nuovi gruppi di Active Directory nomi quali “Project Server - ERP”, “Project Server - Manager di progetto”, “Project Server - Dirigenti”. Per una migliore organizzazione, nidificare i gruppi di Active Directory esistenti all'interno di questi gruppi.
Per garantire la corretta sincronizzazione del pool di risorse dell'organizzazione, sincronizzare sempre prima il pool di risorse dell'organizzazione e quindi i gruppi di protezione di Project Server.
Pianificare la sincronizzazione in base alle esigenze dell'organizzazione. Se vengono aggiunti spesso nuovi utenti o se gli utenti cambiano posizione nell'organizzazione, può essere utile pianificare l'esecuzione giornaliera della sincronizzazione. In caso contrario, è consigliabile pianificarne l'esecuzione settimanale. Come procedura consigliata pianificare sempre la sincronizzazione in modo che avvenga durante le ore non lavorative o non di punta. Quando avviene la sincronizzazione, infatti, si verifica una risincronizzazione delle autorizzazioni con Windows SharePoint Services, causando la perdita temporanea dell'accesso al sito per tutti gli utenti.
Risolvere i problemi di sincronizzazione analizzando il registro eventi dell'applicazione disponibile nel server applicazioni della farm. È inoltre possibile utilizzare i registri del Servizio di registrazione unificato (ULS) per ottenere ulteriori dettagli sui problemi di sincronizzazione di Active Directory. Il registro ULS, ad esempio, contiene le voci DEADLOCK se si verifica il blocco di un utente (vedere l'avviso seguente). È possibile configurare le impostazioni dei registri ULS nel sito Web Amministrazione centrale SharePoint per offrire più dettagli sugli eventi di Active Directory che si sta tentando di controllare. Tali impostazioni vengono configurate nella scheda Operazioni nella pagina Registrazione diagnostica. In questa pagina è possibile configurare le impostazioni dei registri ULS per acquisire soltanto le informazioni di sincronizzazione di Active Directory impostando Limitazione eventi sulla categoria Sincronizzazione Project Server Active Directory. Impostare inoltre Evento meno critico da includere nel registro di traccia su Livello di traccia dettagliato. Per ulteriori informazioni sulla configurazione delle opzioni di registrazione, vedere Configurare la registrazione diagnostica (Project Server).
.gif "Caution")
Attenzione:In alcune circostanze, la sincronizzazione degli utenti e delle aree di lavoro di Project Server con Active Directory può causare una situazione di "deadlock" in cui l'accesso di tutti gli utenti a un sito di Project Web Access o alle rispettive aree di lavoro viene bloccato. In questo modo i processi di sincronizzazione degli utenti non vengono completati correttamente e le autorizzazioni per i siti vengono sincronizzate parzialmente oppure non vengono sincronizzate del tutto. È possibile che gli utenti non siano in grado di accedere a Project Web Access o alle rispettive aree di lavoro.
Un deadlock si può verificare se la sincronizzazione degli utenti impiega troppo tempo. Questo è dovuto al fatto che il processo di sincronizzazione viene ripetuto per troppi utenti e aree di lavoro, ad esempio quando vengono effettuate numerose modifiche delle appartenenze. Un processo di sincronizzazione che rimane in coda a lungo aumenta la possibilità che vengano avviati altri processi inavvertitamente, causando un deadlock.
Per ridurre le possibilità che si verifichi un deadlock, è possibile eseguire le operazioni seguenti:Prima di effettuare numerose modifiche alle appartenenze ai gruppi, verificare che non vi siano processi denominati "Sincronizzazione utenti per sito principale applicazione Project Web Access e aree di lavoro WSS di Project" in corso o in attesa di elaborazione nella coda.
Eseguire lo strumento di sincronizzazione delle aree di lavoro di Project Server (informazioni in lingua inglese) disponibile nel sito CodePlex (https://go.microsoft.com/fwlink/?linkid=147394&clcid=0x410) (informazioni in lingua inglese) . Lo strumento consente di controllare gli elementi da sincronizzare all'avvio del processo, ovvero Project Web Access e aree di lavoro, solo aree di lavoro, solo Project Web Access oppure nessuno di questi elementi, e di eseguire la sincronizzazione degli utenti durante le ore non lavorative o non di punta, quando il carico del server è inferiore.
Si noti che lo strumento di sincronizzazione delle aree di lavoro di Project Server non velocizza il processo di sincronizzazione. Tuttavia sincronizzando gli utenti quando il carico del server è inferiore, si riducono le possibilità di errori di sincronizzazione.
Verificare che l'account specificato per il provider di servizi condivisi dell'applicazione Project Server disponga dell'autorizzazione per la lettura da tutti i domini e foreste di Active Directory utilizzati nella sincronizzazione. Si noti che tutte le sincronizzazioni di Active Directory utilizzano questo account, anche se vengono eseguite manualmente tramite un account utente diverso.
I caratteri separatori di elenco specificati per il server in un nome visualizzato di Active Directory può essere sostituito in Project Web Access tramite il processo di sincronizzazione. In Office Project Server 2007 il carattere separatore di elenco è la virgola. Pertanto, se un nome visualizzato di Active Directory contiene una virgola, verrà sostituita con un punto e virgola. Questo può essere un fattore da tenere in considerazione negli scenari in cui le virgole sono comunemente utilizzate nei nomi visualizzati.
Se si utilizzano campi personalizzati risorse, verificare che tali campi non siano impostati come "obbligatori". Se questi campi sono impostati come obbligatori e non contengono alcun valore, è possibile che la sincronizzazione di Active Directory non riesca, in quanto non è dato sapere quale valore inserire nel campo obbligatorio. È possibile disattivare questa opzione per i campi oppure implementare un gestore eventi sul lato server per popolare i campi personalizzati risorse durante la sincronizzazione. Per ulteriori informazioni sui gestori sul lato server, vedere Scrittura e debug di gestori di eventi per Project Server 2007 (informazioni in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=126633\&clcid=0x410) (informazioni in lingua inglese) in MSDN Library.
Quando si aggiungono utenti a Project Server tramite Project Web Access, verificare di utilizzare lo stesso nome visualizzato (UserObject.displayName) dell'utente utilizzato in Active Directory. Se viene eseguita la sincronizzazione di Active Directory e i nomi visualizzati non corrispondono, tale conflitto causerà errori parziali e l'account non verrà aggiornato.
Requisiti per l'attività
Di seguito vengono riportati i requisiti necessari per eseguire le procedure per questa attività:
Accesso a Project Server tramite Project Web Access con un account che disponga delle impostazioni globali Gestisci impostazioni di Active Directory e Gestione utenti e gruppi.
Accesso in lettura (per l'account del servizio del provider di servizi condivisi per l'istanza di Project Server) a tutti i gruppi e account utente di Active Directory interessati dalla sincronizzazione. È possibile verificare questo account nelle proprietà del provider di servizi condivisi della pagina Amministrazione servizi condivisi del sito Web Amministrazione centrale SharePoint.
[!NOTA] Per ulteriori informazioni sull'account del servizio del provider di servizi condivisi, vedere Pianificare gli account amministrativi e di servizio (Project Server).
Per gestire la sincronizzazione di Active Directory in Project Server 2007, è possibile eseguire le procedure seguenti. La sincronizzazione di Active Directory può essere configurata per il pool di risorse dell'organizzazione o per i gruppi di protezione di Project Server. Le due procedure non sono dipendenti l'una dall'altra.