在 SharePoint Server 中使用 SharePoint Active Directory 匯入設定設定檔同步處理
**適用版本:**SharePoint Server 2016
**上次修改主題的時間:**2017-08-10
**摘要:**了解如何使用匯入使用者設定檔從 Active Directory 到 SharePoint Server 2013 和SharePoint Server 2016 Active Directory 匯入工具為使用者設定檔。
您可以使用 SharePoint Active Directory 匯入] 選項 ([AD 匯入) 另一個到使用 Microsoft Identity Manager (MIM) 匯入使用者設定檔資料從 Active Directory 網域服務 (AD DS) 網域中。
使用 AD 匯入的匯入作業會比相同的作業使用 MIM 大幅更快速。不過,AD 匯入只能與 Active Directory 網域服務 (AD DS),無法與其他目錄服務搭配使用。此外,如果您選擇使用 AD 匯入、 MIM 或其他外部身分識別管理員都不可供如商務應用程式的其他資料來源的連線。
您必須是伺服器陣列管理員群組的成員才能執行本文中的程序。您也需要網域認證才能設定連線同步處理權限。
注意
MIM 是唯一可用的 SharePoint Server 2016 外部提供者。
不支援 AD 匯入的情況
請考慮下列情況下,然後記下新 AD 匯入選項時,不支援您決定是否要使用此選項:
AD 匯入選項不會執行雙向同步處理,這表示,對 SharePoint 使用者設定檔進行的變更不會同步處理回網域控制站。
只會維護單一 Active Directory 樹系內使用者及群組之間的參考完整性。
AD 匯入選項可讓您只設定和使用單一的全伺服器陣列屬性對應。
AD 匯入選項不會自動同步至SharePoint Server 2016從 Active Directory 相片。
AD 匯入選項不支援泛型 (非 AD) LDAP 來源。
AD 匯入選項不支援來源結構描述探索。
AD 匯入選項不例如支援多樹系案例:
如果您有兩個樹系之間的信任,將不匯入信任的樹系物件。
如果您需要將使用者匯入從多個網域,您必須建立多個同步處理連線。如果您有多個網域管理、 使用 MIM。
AD 匯入選項不支援 Contact objects (也稱為跨物件指標)。
AD 匯入選項不支援 click 使用者和群組的自訂物件類別。
AD 匯入選項不篩選使用者介面來建立複雜布林值的運算式。
AD 匯入選項不提供物件篩選根據物件屬性值 (您必須使用簡單的 LDAP 篩選)。
登入與資源樹系 AD 匯入選項不提供支援。也就是自訂聯結的多個來源的資料。
AD 匯入選項不支援Business Connectivity Services匯入。
AD 匯入選項不支援的複雜類型類似的圖片和特殊 AD 類型的屬性對應。
AD 匯入選項不支援將資料從 SharePoint 匯出至目錄來源。
AD 匯入選項不支援升級/平移 FIM 基礎連線] 或 [同步處理設定 AD 匯入 (或相反順序)。
AD 匯入選項無法確保單一主圖形的每個物件屬性 (目前,最後一個作者 wins)。
AD 匯入選項不會執行每個租用戶屬性對應。
設定 SharePoint Active Directory 匯入
您需要在管理中心執行三個程序來設定 AD 匯入。
在第一個程序,您需設定SharePoint Server而不是例如 MIM 外部身分識別管理員使用 AD 匯入。
在第二個程序,您可以建立 AD DS 的同步處理連線。連接會識別要同步處理的項目及包含可用來與 AD DS 互動的認證。
在第三個程序中,可決定如何SharePoint Server使用者設定檔屬性對應至擷取從 AD DS 的使用者資訊。
若要設定要使用 AD 匯入 SharePoint Server
在 SharePoint 管理中心網站上,按一下 [應用程式管理] 區段中的 [管理服務應用程式]。
在 [管理服務應用程式] 頁面上按一下 [User Profile service 應用程式的連結。
在 [管理設定檔服務] 頁面上,按一下 [同步處理] 區段中的 [設定同步處理設定]。
在 [設定同步處理設定] 頁面的 [同步處理選項] 區段中,選取 [使用 SharePoint Active Directory 匯入] 選項,然後按一下 [確定]。
若要匯入設定檔,您必須至少一個同步處理連線到 AD DS。您可能需要 AD DS 的多部伺服器的連線。使用下列程序,建立每個您要匯入設定檔的 AD DS 伺服器的同步處理連線。您可以同步處理之後建立每個連線,或在您建立的所有連線之後的一次進行同步處理。雖然同步處理每個連接花費的時間之後,但這麼容易疑難排解任何可能遇到的問題。
若要建立目錄服務匯入連線
在 SharePoint 管理中心網站上,按一下 [應用程式管理] 區段中的 [管理服務應用程式]。
在 [管理服務應用程式] 頁面上按一下 [User Profile service 應用程式的連結。
在 [管理設定檔服務] 頁面上,按一下 [同步處理] 區段中的 [設定同步處理連線]。
在 [同步處理連線] 頁面上,按一下 [建立新連線]。
在 [新增同步處理連線] 頁面的 [連線名稱] 方塊中,輸入同步處理連線名稱。
從 [類型] 清單中,選取 [Active Directory 匯入]。
完成下列步驟以填入 [連線設定] 區段:
在 [完整網域名稱] 方塊中,輸入網域的完整網域名稱。
在 [驗證提供者類型] 方塊中,選取驗證提供者的類型。
如果選取 [表單驗證] 或 [信任的宣告提供者驗證],請從 [驗證提供者執行個體] 方塊中選取驗證提供者。
[驗證提供者執行個體] 方塊只會列出 Web 應用程式目前使用的驗證提供者。
在 [帳戶名稱] 方塊中輸入您想要 AD 匯入工具用來執行同步處理帳戶的名稱。使用表單*<DOMAIN>\<UserName>*。同步處理帳戶必須具備複寫目錄權限或更高層根 AD DS 的 OU。
在 [密碼] 和 [確認密碼] 方塊中,輸入帳戶的密碼。
在 [連接埠] 方塊中,輸入您想要讓 AD 匯入工具在執行同步處理時用來連線到 AD DS 的連線連接埠。
如果目錄服務的連線需要使用安全通訊端層 (SSL) 連線,請選取 [使用 SSL 安全連線]。
重要
如果使用 SSL 連線,您必須從 AD DS 伺服器匯出網域控制站的憑證,再將憑證匯入同步處理伺服器。
如果您想要篩選出已停用在 AD DS 中的使用者,選取 [篩選出已停用使用者] 核取方塊。
如果您想篩選要從目錄服務匯入的物件,請在 [Active Directory 匯入的 LDAP 語法篩選] 方塊中,輸入標準 LDAP 查詢運算式來定義篩選器。
在 [容器] 區段中,按一下 [填入容器],然後從您要同步處理的目錄服務中選取容器。所選取的所有組織單位 (OU) 都會與它們的子系 OU 同步處理。目前沒有公用程式可讓您選取父系 OU,卻將其任一個子系 OU 排除在同步處理之外。
按一下 [確定]。
[同步處理連線] 頁面會列出新建立的連線。
提示
在 [同步處理連線] 頁面上您可以按一下 [同步處理連線名稱,和 [編輯或刪除來編輯或刪除連線。
若要將使用者設定檔屬性對應
在 SharePoint 管理中心網站上,按一下 [應用程式管理] 區段中的 [管理服務應用程式]。
在 [管理服務應用程式] 頁面上按一下 [User Profile service 應用程式的連結。
在 [管理設定檔服務] 頁面上,按一下 [人員] 區段中的 [管理使用者屬性]。
在 [管理使用者屬性] 頁面上,按一下您想要對應至目錄服務屬性、 屬性的名稱和 [編輯。
若要移除現有對應,請在 [同步處理屬性對應] 區段中,選取您要移除的對應,然後按一下 [移除]。
若要新增對應,請執行下列動作:
在 [新增對應] 區段的 [來源資料連線] 清單中,選取代表要對應使用者設定檔屬性之目錄服務的資料連線。
在 [屬性] 方塊中,輸入要對應屬性的目錄服務屬性的名稱。
按一下 [新增]。
注意
您無法新增多個對應或編輯對應。若要變更屬性的對應設定,您必須先移除現有對應,然後再新增對應。
按一下 [確定]。
重複步驟 4 到 7,以對應其他屬性。
若要啟動設定檔同步處理
在 SharePoint 管理中心網站上,按一下 [應用程式管理] 區段中的 [管理服務應用程式]。
在 [管理服務應用程式] 頁面上按一下 [User Profile service 應用程式的連結。
在 [管理設定檔服務] 頁面的 [同步處理] 區段中,按一下 [啟動設定檔同步處理]。
如果是第一次同步處理,或者自上次同步處理之後已新增或修改任何同步處理連線,請在 [啟動設定檔同步處理] 頁面上,選取 [啟動完整同步處理]。如果只要同步處理自上次同步處理之後變更的資訊,請選取 [啟動累加同步處理]。
按一下 [確定]。
隨即顯示 [管理設定檔服務] 頁面,並在右窗格中顯示設定檔同步處理狀態。
See also
管理 SharePoint Server 中的使用者設定檔同步處理
規劃 SharePoint Server 2013 Preview 的設定檔同步處理
同步處理 SharePoint Server 2013 中的使用者與群組設定檔
在 SharePoint Server 中排程設定檔同步處理