解析多樹系的帳戶 (SharePoint Server 2010)
適用版本: SharePoint Server 2010
上次修改主題的時間: 2016-11-30
Microsoft SharePoint Server 2010 可以部署在 Active Directory 網域服務的各種設定中 (包括單一樹系及多重樹系環境)。
規劃將 SharePoint Server 2010 部署至所有多重樹系時,有下列兩種基本設定:
資源樹系部署此部署具有兩個或多個使用單一登入樹系所設定的樹系,該單一登入樹系包含一或多個資源網域所信任的使用者帳戶,而該資源網域中則包含檔案及應用程式伺服器。
多重登入樹系部署此部署具有兩個或多個樹系,其中包含的使用者帳戶可透過雙向信任以存取資源。
注意
樹系之間必須至少存在單向信任,才能使本文中描述的程序正常工作。
如需如何跨多重樹系解決帳戶的詳細資訊以及顯示各樹系之間關係的圖例,請參閱 Microsoft SharePoint 小組部落格(可能為英文網頁) (https://go.microsoft.com/fwlink/?linkid=186152&clcid=0x404)(可能為英文網頁)。
資源樹系部署
若所有使用者帳戶都存在於一或多個頂層樹系中,即存在資源樹系設定。所有使用者均使用這些樹系中的認證以進行登入。資源伺服器 (如 Microsoft Exchange Server 及 SharePoint Server 2010) 安裝在個別的資源樹系中,該資源樹系維護對每個帳戶樹系的單向信任。資源樹系中包含每個存取資源樹系的使用者陰影非登入帳戶,而該資源樹系則包含以使用者帳戶 ms-ds-Source-Object 屬性為基礎的使用者中繼資料。
在此類部署中,SharePoint Server 2010 從資源樹系目錄的容器中解壓縮 Active Directory 資訊,並依據此資訊建立使用者設定檔與「我的網站」。
多重登入樹系部署
在多重登入樹系部署中,使用者帳戶分佈在兩個或兩個以上樹系中。所有樹系之間通常存在雙向信任。此案例通常是因為組織合併後決定仍保持現有樹系並提供使用者對每個樹系中的資源存取權。由於許多現有應用程式依賴其部署所在的樹系結構,因此將授與某些使用者其必須存取的各個系統帳戶。
在此類部署中,SharePoint Server 2010 部署在其中一個樹系中,該樹系與每個存在使用者帳戶的樹系都具備目錄連線。接下來,您必須使用使用者物件中的辨別名稱 (ms-ds-Source-Object-DN) 屬性以建立使用者帳戶之間的關聯。這種關係存在於屬於同一使用者的多個帳戶之間,其中一個帳戶視為是主要帳戶,所有其他帳戶都視為是主要帳戶的備用帳戶。您可以使用 Microsoft Forefront Identity Manager 在使用者帳戶物件之間建立此類關係。
下表列出各項功能的預期使用者經驗:
| 功能 | 使用者經驗 |
|---|---|
設定檔頁面與物件模型 |
SharePoint Server 2010 維護備用帳戶清單以作為識別設定檔的依據。當您使用任一帳戶尋找使用者的設定檔時,SharePoint Server 2010 會傳回主要帳戶設定檔。 |
我的網站 |
當您建立「我的網站」時,SharePoint Server 2010 會使用使用者的主要帳戶以建立網站。您的所有備用帳戶都會視為管理員自動新增至網站中。 |
人員搜尋 |
人員搜尋傳回使用者的主要帳戶資訊。 |
對象 |
SharePoint Server 2010 中的對象只使用主要帳戶。包含使用者備用帳戶的所有規則都會在內部使用該使用者的主要帳戶。因為主要帳戶與備用帳戶是協調一致的,所以兩者具有相同的管理階層。 |
從商務資料目錄匯入 |
因為 SharePoint Server 2010 依賴每個使用者的主要帳戶資訊,所以只會匯入主要帳戶能夠識別的資料。在商務資料目錄中建立使用者清單時,會使用每個使用者的主要帳戶。 |
成員資格同步處理 |
對於使用者的主要帳戶和備用帳戶所屬的網站,SharePoint Server 2010 將這些網站視為全部屬於同一個使用者帳戶。為了產生更精確的網站成員資格清單,SharePoint Server 2010 必須使用與「SELECT docs FROM member site WHERE author = domain1\user OR author = domain2\user」相同的查詢以產生一個清單,即可包含使用者的任何一個使用者帳戶所屬的網站清單。 |
設定檔同步處理 |
對使用者設定檔進行的任何變更都會被複製至與該使用者相關聯的所有使用者帳戶。這樣可以確保將變更 (例如將圖片新增至「我的網站」中的設定檔) 同步處理至所有 SharePoint Server 2010 網站,無論使用者以哪個帳戶登入。 |
準備 Web 前端伺服器
在使用應用程式集區帳戶搜尋使用者與群組時,人員選擇器會對所有雙向信任網域自動發出查詢。當您在人員選擇器中選擇備用帳戶時,將傳回主要帳戶資訊。
對於單向信任,必須提供下列資訊:
具有樹系查詢權限的登入認證
人員選擇器執行查詢時將使用的加密金鑰
請使用下列程序為 SharePoint Server 2010 Web 前端伺服器準備加密金鑰,以便使用此帳戶。
注意
此工作的程序需要使用 Stsadm 命令列工具。此版本已棄用 Stsadm 命令列工具,但仍包含該工具以支援與早期產品版本的相容性。
準備 Web 前端伺服器
按一下 [開始],然後以滑鼠右鍵按一下 [命令提示字元],再按一下 [以系統管理員身分執行]。
輸入下列命令:
stsadm.exe -o setapppassword -password <key>其中,<金鑰> 是為 Web 應用程式設定的加密金鑰。
註冊跨樹系認證
SharePoint Server 2010 可以追蹤來自多重樹系之使用者帳戶之間的關聯,以便提供完整的使用者經驗。您可以使用 stsadm 命令列工具以建立此種帳戶關聯,如下列程序所示:
您必須是執行 SharePoint Server 2010 伺服器中的伺服器陣列管理員群組成員,才能執行下列步驟。
註冊跨樹系認證
按一下 [開始],然後以滑鼠右鍵按一下 [命令提示字元],再按一下 [以系統管理員身分執行]。
輸入下列命令:
stsadm.exe -o setproperty -url <http://server:port> -pn "peoplepicker-searchadforests" -pv "<forest:contoso.com;domain:corp.contoso.com>", <LoginName>,<Password>, <Key>其中:
<http://伺服器:連接埠> 是您將授與存取權的 Web 應用程式 URL。
<forest:contoso.com;domain:corp.contoso.com> 是用於搜尋使用者帳戶的樹系及網域的限定名稱。
<登入名稱> 是使用者的帳戶名稱。
<密碼> 是使用者的密碼。
<金鑰> 是為 Web 應用程式設定的加密金鑰。