Verwalten der Sicherheitsgruppensynchronisierung mit Active Directory in Project Server

  • Artikel

Zusammenfassung: Sie können Project Server-Sicherheitsgruppen in Project Web App so konfigurieren, dass sie mit Sicherheits- oder Verteilergruppen in Active Directory synchronisiert werden.
Gilt für: Project Server-Abonnementedition, Project Server 2019, Project Server 2016, Project Server 2013

Hinweis

Zum Konfigurieren der Active Directory-Synchronisierung mit Project Web App-Sicherheitsgruppen muss sich Ihre Project Server-Instanz im Project Server-Berechtigungsmodus befinden. Die Einstellungen sind nicht im SharePoint-Berechtigungsmodus verfügbar. Weitere Informationen zum Project Server-Berechtigungsmodus finden Sie unter Planen des Benutzerzugriffs in Project Server.

Die Project Server-Sicherheitsgruppensynchronisierung steuert die Project Server-Sicherheitsgruppenmitgliedschaft, indem benutzer basierend auf der Gruppenmitgliedschaft im Active Directory-Verzeichnisdienst automatisch hinzugefügt und daraus entfernt werden. Jede Project Server-Sicherheitsgruppe kann einer einzelnen Active Directory-Gruppe zugeordnet werden. Zudem kann eine Active Directory-Gruppe geschachtelte Gruppen enthalten, deren Mitglieder ebenfalls synchronisiert werden.

Beim Synchronisierungsvorgang einer Project Server-Sicherheitsgruppe können folgende Aktionen ausgeführt werden:

  • Ein neues Project Server-Benutzerkonto kann basierend auf einem Active Directory-Konto erstellt werden.

  • Ein vorhandener Project Server-Benutzer kann aus einer Project Server-Sicherheitsgruppe entfernt werden.

  • Ein vorhandener Project Server-Benutzer kann einer Project Server-Sicherheitsgruppe hinzugefügt werden.

  • Die Metadaten eines vorhandenen Project Server-Benutzerkontos (z. B. Name, E-Mail-Adresse usw.) können aktualisiert werden, wenn sie in Active Directory geändert wurden.

Bevor Sie dieses Verfahren ausführen, sollten Sie Folgendes überprüfen:

  • Für das Konto, mit dem Sie über Project Web App (PWA) auf Project Server zugreifen, sind sowohl die Berechtigungen Active Directory-Einstellungen verwalten als auch Globale Berechtigungen Benutzer und Gruppen verwalten aktiviert.

  • Das Dienstanwendungs-Dienstkonto für die Project Server-Instanz verfügt über Lesezugriff auf alle Active Directory-Gruppen und Benutzerkonten, die an der Synchronisierung beteiligt sind. Sie können dieses Konto auf der Seite Dienstanwendung auf der Website der SharePoint-Zentraladministration überprüfen.

Szenarien für die Sicherheitsgruppensynchronisierung

Die folgenden möglichen Szenarien und entsprechenden Aktionen können bei Ausführung der Sicherheitsgruppensynchronisierung auftreten:

Szenario Aktion
Der Benutzer ist in Active Directory vorhanden und ist ein Mitglied der Active Directory-Gruppe, die der aktuellen Project Server-Sicherheitsgruppe zugeordnet ist. Der Benutzer ist in Project Server nicht vorhanden.
Ein entsprechendes neues Benutzerkonto wird in Project Server erstellt und ihm wird die Mitgliedschaft in der aktuellen Project Server-Sicherheitsgruppe erteilt.
Der Benutzer ist kein Mitglied der Active Directory-Gruppe, die der aktuellen Project Server-Sicherheitsgruppe zugeordnet ist. Der Benutzer ist auch in Project Server vorhanden und ist ein Mitglied der aktuellen Project Server-Sicherheitsgruppe.
Der vorhandene Project Server-Benutzer wird als Mitglied der aktuellen Project Server-Sicherheitsgruppe entfernt.
Der Benutzer ist in Active Directory vorhanden und ist ein Mitglied der Active Directory-Gruppe, die der aktuellen Project Server-Sicherheitsgruppe zugeordnet ist. Der Benutzer ist auch in Project Server vorhanden, ist aber kein Mitglied der aktuellen Project Server-Sicherheitsgruppe.
Der vorhandene Project Server-Benutzer erhält die Mitgliedschaft bei der aktuellen Project Server-Sicherheitsgruppe.
Der Benutzer ist in Active Directory vorhanden und ist ein Mitglied der Active Directory-Gruppe, die der aktuellen Project Server-Sicherheitsgruppe zugeordnet ist. Der Benutzer ist auch in Project Server vorhanden und ist ein Mitglied der aktuellen Project Server-Sicherheitsgruppe. Die Benutzerinformationen wurden in Active Directory aktualisiert.
Die entsprechenden Project Server-Benutzerinformationen werden aktualisiert (soweit zutreffend).
Der Benutzer ist in Active Directory vorhanden und ist ein Mitglied der Active Directory-Gruppe, die der aktuellen Project Server-Sicherheitsgruppe zugeordnet ist. Der Benutzer ist auch in Project Server vorhanden, jedoch als inaktives Konto.
Wenn die Option Zurzeit inaktive Benutzer werden automatisch reaktiviert, wenn sie während der Synchronisierung in Active Directory gefunden werden in Project Server ausgewählt ist, wird das Konto reaktiviert und der aktuellen Project Server-Sicherheitsgruppe hinzugefügt. Wenn diese Option nicht ausgewählt ist, bleibt das Konto in Project Server inaktiv.

Konfigurieren der Sicherheitsgruppensynchronisierung mit Active Directory-Gruppen

Die Project Web App-Sicherheitsgruppensynchronisierung mit Active Directory-Gruppen erfolgt über die Seite Gruppen verwalten ihrer Project Web App Server-Einstellungen.

So konfigurieren Sie die Sicherheitsgruppensynchronisierung

  1. Klicken Sie auf der Seite Project Web App Server-Einstellungen im Abschnitt Sicherheit auf Gruppen verwalten.

  2. Klicken Sie auf der Seite Gruppen verwalten in der Spalte Gruppenname auf den Namen der Sicherheitsgruppe, die Sie synchronisieren möchten.

  3. Geben Sie auf der Seite Hinzufügen oder Bearbeiten für die ausgewählte Gruppe im Abschnitt Active Directory-Gruppe den Namen oder das SAM-Konto der Active Directory-Gruppe ein, mit der Sie mit dieser PWA-Gruppe synchronisieren möchten. Während Sie den Gruppennamen eingeben, erscheinen in den Ergebnissen die Active Directory-Gruppen, die die Textzeichenfolge enthalten. Wählen Sie in den Ergebnissen die Active Directory-Gruppe für die Synchronisierung aus.

    Um eine Gruppe aus einer Remotegesamtstruktur auszuwählen, geben Sie den vollqualifizierten Domänennamen der Gruppe ein (z. B group@corp.contoso.com. ).

    Hinweis

    Die Synchronisierung kann für eine Sicherheits- oder Verteilungsgruppe mit beliebiger Gültigkeit (Lokal, Global oder Universal) ausgeführt werden.

  4. Klicken Sie auf Speichern, um die Einstellungen zu speichern.

  5. Klicken Sie auf der Seite Gruppen verwalten auf Active Directory-Gruppensynchronisierungsoptionen.

  6. Auf der Dialogfeldseite Project Web App-Sicherheitsgruppen mit Active Directory synchronisieren können Sie aktivieren, dass inaktive Benutzerkonten reaktiviert werden, wenn sie während der Synchronisierung in der Active Directory-Gruppe gefunden werden. Wählen Sie dazu Aktuell inaktive Benutzer automatisch reaktivieren aus, wenn sie während der Synchronisierung in Active Directory gefunden werden. Wenn Sie diese Option beispielsweise aktivieren, wird sichergestellt, dass das Benutzerkonto des Mitarbeiters reaktiviert wird, wenn ein Mitarbeiter erneut eingestellt wird.

  7. Klicken Sie auf Speichern, um die Einstellungen zu speichern. Klicken Sie auf Jetzt speichern und synchronisieren , wenn Sie Ihre Project Server-Sicherheitsgruppen sofort synchronisieren möchten. Im Abschnitt Status wird die letzte Synchronisierung von Project Web App-Gruppen mit Active Directory beschrieben.

    Hinweis

    Durch Klicken auf die Schaltfläche Jetzt speichern und synchronisieren werden alle Sicherheitsgruppen mit konfigurierten Active Directory-Gruppen synchronisiert. Wählen Sie nicht einzelne Sicherheitsgruppen auf der Seite Gruppen verwalten aus, bevor Sie auf Active Directory-Gruppensynchronisierungsoptionen klicken, da dies keine Auswirkungen darauf hat, welche Gruppen synchronisiert werden.

Sie können die Seite Gruppen verwalten anzeigen, um zu prüfen, welche PWA-Sicherheitsgruppen mit Active Directory synchronisiert sind. Zudem wird dort für jede Sicherheitsgruppe der letzte Synchronisierungszeitpunkt angezeigt.

  • In der Spalte Active Directory-Gruppe wird angezeigt, welche Active Directory-Gruppen zum Synchronisieren mit einer PWA-Sicherheitsgruppe konfiguriert sind.

  • In der Spalte Letzte Synchronisierung wird für jede Gruppe angezeigt, wann die letzte erfolgreiche Synchronisierung stattgefunden hat.

Planen der Active Directory-Synchronisierung mit PWA-Sicherheitsgruppen

Sie können die Häufigkeit planen, mit der die Active Directory-Synchronisierung mit PWA-Sicherheitsgruppen erfolgt, indem Sie project Server: Synchronization of AD with security groups timer job configuration settings in central administration verwenden. Dies kann über einen definierten Zeitraum von Minuten, Tagen, Wochen oder Monaten geplant werden. Im folgenden Verfahren wird gezeigt, wie Sie auf Project Server zugreifen: Synchronisierung von AD mit Einstellungen für die Zeitgeberauftragskonfiguration von Sicherheitsgruppen in der Zentraladministration und beschreibt die verfügbaren Planungsoptionen.

So planen Sie die Active Directory-Synchronisierung mit PWA-Sicherheitsgruppen

  1. Klicken Sie in Zentraladministration auf Überwachung.

  2. Klicken Sie auf der Seite Überwachung im Abschnitt Zeitgeberauftrag auf Auftragsdefinitionen überprüfen.

  3. Suchen Sie auf der Seite Auftragsdefinitionen nach Project Server: Synchronisierung von AD mit Sicherheitsgruppen für PWAIntanceName, und klicken Sie darauf.

    Beispiel: Project Server: Synchronisierung von AD mit Sicherheitsgruppen für https://contoso/pwa.

  4. Auf der Seite Zeitgeberauftrag bearbeiten für den Auftrag können Sie im Abschnitt Wiederkehrender Zeitplan konfigurieren, wann die Synchronisierung wiederholt ausgeführt wird. Im Abschnitt Dieser Zeitgeberauftrag soll ausgeführt werden , können Sie basierend auf den Anforderungen Ihrer Organisation eine der folgenden Optionen auswählen:

    • Minuten: Hiermit können Sie eine Häufigkeit angeben, mit der der Auftrag ausgeführt wird – alle x Minuten.

    • Stündlich: Hiermit können Sie ein Intervall angeben, in dem der Auftrag nach dem Zufallsprinzip ausgeführt wird – jede Stunde zwischen x Minuten nach der Stunde und nicht später als y Minuten nach der Stunde.

    • Täglich: Hiermit können Sie ein Intervall angeben, in dem der Auftrag nach dem Zufallsprinzip ausgeführt wird – beginnend jeden Tag zwischen x Tageszeit und nicht später als y Tageszeit.

    • Wöchentlich: Hiermit können Sie angeben, in welcher Reihenfolge der Auftrag nach dem Zufallsprinzip ausgeführt wird – beginnend jede Woche zwischen x Wochentag und x Tageszeit und nicht später als y Wochentag und y Tageszeit.

    • Monatlich: Sie können zwischen zwei Optionen wählen:

    • Ermöglicht die Angabe eines Intervalls, in dem der Auftrag nach dem Zufallsprinzip ausgeführt wird – Nach Datum: beginnend jeden Monat zwischen x Uhrzeit und x Tag des Monats und nicht später als y Tageszeit und y Tag des Monats.

    • Ermöglicht die Angabe einer genauen Uhrzeit des Monats, in dem der Zeitgeberauftrag ausgeführt wird – Nach Tag: beginnend jeden Monat x Tageszeit, y Wochentag und z Woche des Monats. Beispiel: 12:00 am ersten Sonntag im Monat.

  5. Klicken Sie auf OK, um die Konfigurationsänderungen zu speichern.

    Hinweis

    Sie können jederzeit auf Jetzt ausführen klicken, um den Zeitgeberauftrag sofort auszuführen.

Beachten Sie, dass Sie bei mehreren Optionen einen Zeitraum für die Ausführung auswählen können und keine genaue Uhrzeit oder Häufigkeit angeben müssen. Wenn Sie eine Option auswählen, die die Angabe eines Zeitraums vorsieht, kann der Zeitgerberdienst innerhalb der angegebenen Parameter einen willkürlichen Zeitpunkt auswählen, um den Auftrag auf jedem Server auszuführen. Die Verwendung einer Option mit einer Ausführungszeit eignet sich für Aufträge mit hoher Auslastung, die auf mehreren Servern in der Farm ausgeführt werden. Wenn Sie diese Art von Aufträgen auf allen Servern in der Farm gleichzeitig ausführen, kann dies eine unnötige Last für die Farm bedeuten.

Anhand verschiedener Faktoren können Sie ermitteln, welche Häufigkeit Sie für die Ausführung des Zeitgeberauftrags Project Server: Active Directory-Gruppensynchronisierung wählen sollten. Sie können sich für eine häufigere Ausführung des Auftrags entscheiden, wenn die Benutzer in Ihrer Umgebung oft in andere Gruppen wechseln oder wenn in Ihrem Unternehmen häufig Mitarbeiter eingestellt oder entlassen werden. Möglicherweise möchten Sie den Auftrag auch häufiger ausführen, wenn Ihre Project Server-Benutzer mit vertraulichen Daten arbeiten.

Siehe auch

Verwalten der Synchronisierung des Active Directory-Ressourcenpools in Project Server 2013

Verwalten von Sicherheitsgruppen in Project Server

Bewährte Methoden beim Konfigurieren von Active Directory-Gruppen für die Synchronisierung des Enterprise-Ressourcenpools in Project Server 2013