在 SharePoint Server 2013 中授與 Active Directory 網域服務權限,以進行設定檔同步處理

 

適用版本:SharePoint Server 2013

上次修改主題的時間:2016-12-16

摘要:了解如何在 Active Directory 網域服務中授與適當權限,讓 SharePoint Server 2013 中的 User Profile Service 可以用來進行設定檔同步處理。

本文包含的程序是 Active Directory 網域服務 (AD DS) 管理員可用來設定同步處理設定檔資訊與 SharePoint Server 2013 所需的權限。<設定檔同步處理規劃>中的「規劃帳戶權限」一節說明各種情況的必要權限。

本文中的程序使用「同步處理帳戶」代表您授與權限的帳戶。同步處理帳戶是指設定檔同步處理期間,SharePoint Server 用來連線 AD DS 的帳戶。

本文內容:

注意事項附註:
管理員通常使用 SharePoint 管理中心網站和 SharePoint 管理命令介面來管理部署。如需關於適用於管理員之協助工具的詳細資訊,請參閱<SharePoint 2013 的協助工具>。
因為 SharePoint 2013 在網際網路資訊服務 (IIS) 中以網站形式運作,所以管理員與使用者均依賴瀏覽器提供的協助工具功能。SharePoint 2013 支援所支援瀏覽器的協助工具功能。如需詳細資訊,請參閱下列資源:

請使用這個程序,將網域的複寫目錄變更權限授與某個帳戶。

複寫目錄變更權限可讓同步處理帳戶讀取 AD DS 物件,以及探索網域中已經變更的 AD DS 物件。授與複寫目錄變更權限無法讓帳戶建立、修改或刪除 AD DS 物件。

授與網域的複寫目錄變更權限
  1. 在網域控制站上,依序按一下 [開始]、[系統管理工具] 及 [Active Directory 使用者及電腦]。

  2. 在 [Active Directory 使用者及電腦] 的網域上按一下滑鼠右鍵,然後按一下 [委派控制]。

  3. 在 [委派控制精靈] 的首頁上,按 [下一步]。

  4. 在 [使用者或群組] 頁面上,按一下 [新增]。

  5. 輸入同步處理帳戶的名稱,然後按一下 [確定]。

  6. 按 [下一步]。

  7. 在 [將委派的工作] 頁面上,選取 [建立自訂工作來委派],然後按 [下一步]。

  8. 在 [Active Directory 物件類型] 頁面上,選取 [這個資料夾、資料夾內現存的物件、以及資料夾內建立的新物件],然後按 [下一步]。

  9. 在 [權限] 頁面的 [權限] 方塊中,選取 [正在複寫目錄變更] (在 Windows Server 2003 上請選取 [複寫目錄變更]),然後按 [下一步]。

  10. 按一下 [完成]。

請使用這個程序,將帳戶新增至 Pre-Windows 2000 Compatible Access 群組。

將帳戶新增至 Pre-Windows 2000 Compatible Access 群組
  1. 在網域控制站上,依序按一下 [開始]、[系統管理工具] 及 [Active Directory 使用者及電腦]。

  2. 在 [Active Directory 使用者及電腦] 中,依序展開網域及 [Builtin],然後在 [Pre-Windows 2000 Compatible Access] 上按一下滑鼠右鍵,再按一下 [內容]。

  3. 在 [內容] 對話方塊中,按一下 [成員] 索引標籤,然後按一下 [新增]。

  4. 輸入同步處理帳戶的名稱,然後按一下 [確定]。

  5. 按一下 [確定]。

請使用這個程序,將 cn=configuration 容器的複寫目錄變更權限授與某個帳戶。

授與 cn=configuration 容器的複寫目錄變更權限
  1. 在網域控制站上,依序按一下 [開始] 及 [執行],然後輸入 adsiedit.msc,再按一下 [確定]。

  2. 如果 [設定] 節點尚未存在,請執行下列作業:

    1. 在功能窗格中,按一下 [ADSI 編輯器]。

    2. 在 [動作] 功能表上,按一下 [連線至]。

    3. 在 [連線設定] 對話方塊的 [連接點] 區域中,按一下 [選取知名的命名內容],然後從下拉式清單中選取 [設定],再按一下 [確定]。

  3. 展開 [設定] 節點,然後在 [CN=Configuration...] 節點上按一下滑鼠右鍵,再按一下 [內容]。

  4. 在 [內容] 對話方塊中,按一下 [安全性] 索引標籤。

  5. 在 [群組或使用者名稱] 區段中,按一下 [新增]。

  6. 輸入同步處理帳戶的名稱,然後按一下 [確定]。

  7. 在 [群組或使用者名稱] 區段中,選取同步處理帳戶。

  8. 在 [權限] 區段中,選取 [正在複寫目錄變更] (在 Windows Server 2003 上為 [複寫目錄變更]) 權限旁的 [允許] 核取方塊,然後按一下 [確定]。

請使用這個程序,將建立子物件和寫入權限授與某個帳戶。

授與建立子物件和寫入權限
  1. 在網域控制站上,依序按一下 [開始] 及 [執行],然後輸入 adsiedit.msc,再按一下 [確定]。

  2. 如果 [預設命名內容] 節點不存在,請執行下列作業:

    1. 在功能窗格中,按一下 [ADSI 編輯器]。

    2. 在 [動作] 功能表上,按一下 [連線至]。

    3. 在 [連線設定] 對話方塊的 [連接點] 區域中,按一下 [選取知名的命名內容],然後從下拉式清單中選取 [預設命名內容],再按一下 [確定]。

  3. 在 [ADSI 編輯器] 視窗的功能窗格中,依序展開網域及 [DC=...] 節點,然後在您要授與權限的 OU 上按一下滑鼠右鍵,再按一下 [內容]。

  4. 在 [內容] 對話方塊的 [安全性] 索引標籤上,按一下 [進階]。

  5. 在 [進階安全性設定] 對話方塊中,選取符合下列條件的列:[名稱] 欄中的值為同步處理帳戶,而 [繼承自] 欄中的值為 [<未繼承>],然後按一下 [編輯]。如果此列不存在,請依序按一下 [新增] 及 [位置],選取 [整個目錄] 並按一下 [確定],然後輸入同步處理帳戶,再按一下 [確定]。如此即會新增適當列,以供您選取。

    注意事項附註:
    請不要選取繼承自其他位置之同步處理帳戶的列。這麼做只會讓您將權限套用至 OU,而不會套用至 OU 的內容。
  6. 從 [權限項目] 對話方塊的 [套用至] 方塊中,選取 [此物件及所有子系物件] (在 Windows Server 2003 上請選取 [這個物件及所有的子物件]),然後在 [寫入全部內容] 及 [建立所有子物件] 屬性的列中,選取 [允許] 核取方塊,再按一下 [確定]。

  7. 按一下 [確定] 關閉 [進階安全性設定] 對話方塊。

  8. 按一下 [確定] 關閉 [內容] 對話方塊。

  9. 重複步驟 3 到 8,以授與其他任何 OU 的權限。

顯示: