Настройка синхронизации профилей с помощью импорта Active Directory для SharePoint в SharePoint Server

  • Статья

 

**Применимо к:**SharePoint Server 2016

**Последнее изменение раздела:**2017-08-10

Сводка. Узнайте, как импортировать профили пользователей из Active Directory в SharePoint Server 2013 и SharePoint Server 2016 с помощью средства импорта Active Directory для профилей пользователей.

Средство импорта Active Directory в SharePoint можно использовать вместо Microsoft Identity Manager (MIM) для импорта данных профилей пользователей из доменных служб Active Directory (AD DS) в домене.

Операции импорта с применением средства импорта AD выполняются значительно быстрее, чем аналогичные операции с использованием MIM. Однако средство импорта AD работает только с доменными службами Active Directory (AD DS) и не поддерживает другие службы каталогов. Кроме того, если вы решите использовать средство импорта AD, то MIM и другие внешние диспетчеры удостоверений будут недоступны для подключений к другим источникам данных, например бизнес-приложениям.

Для выполнения процедур, описанных в этой статье, необходимо быть членом группы администраторов фермы. Вам также потребуются учетные данные домена с разрешениями на синхронизацию, чтобы настроить подключение.

Примечание

MIM — это внешний поставщик, доступный только в SharePoint Server 2016.

Ситуации, не поддерживаемые средством импорта AD

Прежде чем принимать решение о том, использовать ли средство импорта AD, рассмотрите описанные ниже ситуации и обратите внимание на функции, которые это средство не поддерживает.

  • Средство импорта AD не выполняет двунаправленную синхронизацию. Это значит, что изменения, сделанные в профилях пользователей SharePoint, не будут синхронизированы обратно в контроллер домена.

  • Целостность данных между пользователями и группами поддерживается только в одном лесу Active Directory.

  • Средство импорта AD позволяет настроить и использовать только одно сопоставление свойств уровня фермы.

  • Функция импорта AD не может автоматически синхронизировать фотографии из Active Directory с SharePoint Server 2016.

  • Средство импорта AD не поддерживает универсальные (не AD) источники LDAP.

  • Средство импорта AD не поддерживает обнаружение схемы источника.

  • Средство импорта AD не поддерживает сценарии с несколькими лесами, например:

    • При наличии доверия между двумя лесами объекты доверенного леса не будут импортированы.

    • Если вам нужно импортировать пользователей из нескольких доменов, необходимо создать несколько подключений синхронизации. Если нужно управлять несколькими доменами, используйте MIM.

  • Средство импорта AD не поддерживает объекты Contact (также известные как межобъектные указатели).

  • Средство импорта AD не поддерживает классы настраиваемых объектов, за исключением User и Group.

  • Средство импорта AD не поддерживает фильтрацию пользовательского интерфейса для создания сложных логических выражений.

  • Средство импорта AD не поддерживает фильтрацию объектов на основании значений их свойств (необходимо использовать простые фильтры LDAP).

  • Средство импорта AD не поддерживает вход и лес ресурсов, то есть настраиваемые объединения данных из нескольких источников.

  • Средство импорта AD не поддерживает импорт Business Connectivity Services.

  • Средство импорта AD не поддерживает сопоставление свойств сложных типов, таких как изображения и специальные типы AD.

  • Средство импорта AD не поддерживает экспорт данных из SharePoint в каталоги-источники.

  • Средство импорта AD не поддерживает обновление и преобразование подключений с использованием FIM, а также синхронизацию конфигурации для импорта AD (возможен обратный порядок).

  • Средство импорта AD не гарантирует, что у каждого свойства объекта будет один владелец (в настоящее время преимущество имеет последний, кто выполнил запись).

  • Средство импорта AD не выполняет сопоставление свойств по клиентам.

Настройка средства импорта Active Directory в SharePoint

Для настройки импорта AD необходимо открыть Центр администрирования и выполнить три процедуры.

В первой процедуре выполняется настройка SharePoint Server на использование средства импорта AD вместо внешнего диспетчера удостоверений, например MIM.

Во второй процедуре создается подключение для синхронизации с AD DS. Данные этого подключения определяют синхронизируемые элементы и содержат учетные данные, используемые для взаимодействия с AD DS.

В третьей процедуре определяется, каким образом свойства профилей пользователей SharePoint Server сопоставляются с данными о пользователях, извлекаемыми из AD DS.

Настройка SharePoint Server на использование средства импорта AD

  1. Откройте Веб-сайт центра администрирования SharePoint, перейдите к разделу Управление приложениями и выберите Управление приложениями-службами.

  2. На странице Управление приложениями-службами перейдите по ссылке на приложение службы профилей пользователей.

  3. На странице Управление службой профилей в разделе Синхронизация нажмите Настройка параметров синхронизации.

  4. На странице Настройка параметров синхронизации в разделе Параметры синхронизации выберите параметр Использовать импорт SharePoint Active Directory и нажмите кнопку ОК.

Для импорта профилей необходимо хотя бы одно подключение синхронизации к AD DS. Можно использовать подключения к нескольким серверам AD DS. В предыдущей процедуре создается подключение синхронизации к каждому серверу AD DS, с которого требуется импортировать профили. Синхронизация может выполняться после создания каждого подключения или за один раз после создания всех подключений. Хотя выполнение синхронизации после каждого подключения занимает больше времени, такой способ упрощает устранение любых возможных проблем.

Создание подключения к службе каталогов для импорта

  1. Откройте Веб-сайт центра администрирования SharePoint, перейдите к разделу Управление приложениями и выберите Управление приложениями-службами.

  2. На странице Управление приложениями-службами перейдите по ссылке на приложение службы профилей пользователей.

  3. На странице Управление службой профилей в разделе Синхронизация нажмите Настройка подключений для синхронизации.

  4. На странице Подключения синхронизации нажмите Создать подключение.

  5. На странице Добавление нового подключения синхронизации введите имя подключения синхронизации в поле Имя подключения.

  6. В списке Тип выберите Импорт Active Directory.

  7. Заполните поля в разделе Параметры подключения, выполнив следующие действия:

    1. В поле Полное доменное имя введите полное доменное имя соответствующего домена.

    2. В поле Тип поставщика проверки подлинности выберите нужный тип поставщика.

    3. Если вы выбрали Проверка подлинности с помощью форм или Проверка подлинности надежного поставщика утверждений, выберите поставщика проверки подлинности из поля Экземпляр поставщика проверки подлинности.

      В поле Экземпляр поставщика проверки подлинности перечисляются только те поставщики проверки подлинности, которые используются сейчас веб-приложением.

    4. В поле Имя учетной записи введите имя учетной записи, которую средство импорта AD будет использовать для синхронизации. Используйте форму <DOMAIN>\<UserName>. Для учетной записи синхронизации должны быть заданы разрешения уровня "Репликация каталога" или выше в корневом подразделении AD DS.

    5. В полях Пароль и Подтверждение пароля укажите пароль для учетной записи.

    6. В поле Порт укажите порт подключения, который должен использоваться средством синхронизации AD для подключения к AD DS при синхронизации.

    7. Если для подключения к службе каталогов требуется SSL-подключение, выберите пункт Использовать SSL-подключение.

      Важно!

      Если используется SSL-подключение, необходимо экспортировать сертификат контроллера домена с сервера AD DS и импортировать его на сервер синхронизации.

    8. Если вы хотите отфильтровать пользователей, отключенных в AD DS, установите флажок Отфильтровать отключенных пользователей.

    9. Если нужно фильтровать объекты, импортируемые из службы каталогов, введите в поле Фильтр в синтаксисе LDAP для импорта Active Directory стандартное выражение запроса LDAP, чтобы задать фильтр.

  8. В разделе Контейнеры нажмите Заполнить контейнеры и выберите контейнеры из службы каталогов для синхронизации. Все выбранные вами подразделения будут синхронизированы со своими дочерними подразделениями. В настоящее время нет служебной программы, позволяющей выбирать родительское подразделение и при этом исключать какое-либо из его дочерних подразделений из синхронизации.

  9. Нажмите кнопку ОК.

    Вновь созданное подключение отображается в списке на странице Подключения синхронизации.

    Совет

    На странице Подключения синхронизации можно нажать имя подключения синхронизации, а затем выбрать команду Изменить или Удалить, чтобы изменить или удалить это подключение.

Сопоставление свойств профилей пользователей

  1. Откройте Веб-сайт центра администрирования SharePoint, перейдите к разделу Управление приложениями и выберите Управление приложениями-службами.

  2. На странице Управление приложениями-службами перейдите по ссылке на приложение службы профилей пользователей.

  3. На странице Управление службой профилей выберите в разделе Люди пункт Управление свойствами пользователей.

  4. На странице Управление свойствами пользователей нажмите имя свойства, которое нужно сопоставить с атрибутом службы каталогов, а затем нажмите Изменить.

  5. Для удаления существующего сопоставления выберите в разделе Сопоставление свойств для синхронизации сопоставление, которое нужно удалить, и затем щелкните Удалить.

  6. Чтобы добавить новое сопоставление, выполните следующие действия:

    1. В разделе Добавление нового сопоставления в списке Подключение к исходным данным выберите подключение к данным, представляющее службу каталогов, с которой требуется сопоставить свойство профиля пользователя.

    2. В поле Атрибут введите имя атрибута службы каталогов, с которым нужно сопоставить свойство.

    3. Щелкните Добавить.

      Примечание

      Нельзя добавлять несколько сопоставлений или изменять сопоставление. Чтобы изменить настройки сопоставления для свойства, необходимо сначала удалить существующее сопоставление, а затем создать новое сопоставление.

  7. Нажмите кнопку ОК.

  8. Повторите шаги 4–7, чтобы сопоставить другие свойства.

Запуск синхронизации профилей

  1. В разделе Управление приложениями веб-сайта Веб-сайт центра администрирования SharePoint щелкните Управление приложениями-службами.

  2. На странице Управление приложениями-службами выберите ссылку приложения службы профилей пользователей.

  3. В разделе Синхронизация страницы управления службой профилей щелкните пункт Запуск синхронизации профилей.

  4. На странице Запуск синхронизации профилей выберите Начать полную синхронизацию, если синхронизация запускается в первый раз или если подключения синхронизации добавлялись или изменялись со времени последней синхронизации. Выберите Начать добавочную синхронизацию, чтобы синхронизировать только сведения, которые были изменены с момента последней синхронизации.

  5. Нажмите кнопку ОК.

    Отобразится страница Служба управления профилями со статусом синхронизации профиля в правой области.

See also

Управление синхронизацией профилей пользователей в SharePoint Server
Планирование синхронизации профилей для SharePoint Server 2013
Синхронизация профилей пользователей и групп в SharePoint Server 2013
Планирование синхронизации профилей в SharePoint Server

Update-SPProfilePhotoStore