Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Symptome
Angenommen, es gibt eine bidirektionale Domänenvertrauensstellung zwischen zwei Domänen (Domäne A und Domäne B). Benutzer werden zusammen mit dem SID-Verlauf von Domäne A zu Domäne B migriert, und die Benutzer sind weiterhin in Domäne A aktiv. In einer SharePoint-Farm, die sich in einer der Domänen befindet, können die folgenden Probleme auftreten:
Benutzer aus einer der Domänen können in der Personenauswahl nicht gefunden werden. Dieses Verhalten kann konsistent oder zeitweilig sein.
Wenn Sie versuchen, einem Benutzer Berechtigungen zuzuweisen, wird die folgende Fehlermeldung angezeigt:
Der Benutzer ist nicht vorhanden oder nicht eindeutig.
Benutzer verlieren ihre Berechtigungen für SharePoint-Websites, oder sie können nicht auf SharePoint-Websites zugreifen, denen ihnen Berechtigungen zugewiesen sind.
Benutzerprofildaten werden nach dem Zufallsprinzip ausgeblendet.
Ursache
Dieses Problem tritt auf, weil die zugrunde liegenden .NET-Assemblys, die von SharePoint verwendet werden, benutzerkonten durch das objectSid-Attribut abfragen. Wenn zwei Active Directory-Konten einen SID-Verlauf gemeinsam nutzen (das objectSid-Attribut eines Kontos ist im sidHistory-Attribut eines anderen Kontos aufgeführt), werden die beiden Konten von Active Directory grundsätzlich als dasselbe Konto betrachtet. Ein Aufruf von Active Directory zum Abrufen der Kontoinformationen kann das Konto aus Domäne A oder das Konto aus Domäne B zurückgeben.
Lösung
Dieses Szenario wird nicht unterstützt. SharePoint kann sich nicht in einer Domäne befinden, die Teil einer bidirektionalen Domänenvertrauensstellung ist, in der Benutzer mit aktiven Konten in beiden Domänen den SID-Verlauf teilen. Jedes Konto muss eindeutig sein. Um sicherzustellen, dass dies der Fall ist, müssen Sie eine der folgenden Aktionen in Active Directory ausführen:
- Deaktivieren Sie das Quellkonto.
- Löschen Sie das objectSid-Attribut des Quellkontos aus dem SID-Verlauf des Zielkontos.
Weitere Informationen
Benötigen Sie weitere Hilfe? Navigieren Sie zu SharePoint-Community.