Accorder des autorisations Active Directory Domain Services pour la synchronisation de profils (SharePoint Server 2010)

  • Article

 

S’applique à : SharePoint Server 2010

Dernière rubrique modifiée : 2011-06-15

Cet article contient des procédures permettant à un administrateur des services de domaine Active Directory (AD DS, Active Directory Domain Services) de configurer les autorisations nécessaires pour synchroniser les informations de profils avec Microsoft SharePoint Server 2010. La section Planifier les autorisations de compte de l’article « Planifier la synchronisation des profils » décrit les autorisations nécessaires dans les différentes circonstances.

Les procédures de cet article emploient l’expression « compte de synchronisation » pour faire référence au compte auquel vous accordez des autorisations. Le compte de synchronisation est celui utilisé par SharePoint Server pour se connecter aux services AD DS durant la synchronisation des profils.

Dans cet article :

  • Accorder l'autorisation Répliquer les changements de répertoire sur un domaine

  • Ajouter un compte au groupe Accès compatible pré-Windows 2000

  • Accorder l'autorisation Répliquer les changements de répertoire sur le conteneur cn=configuration

  • Accorder les autorisations Créer des objets enfants et Écrire

Accorder l’autorisation Répliquer les changements de répertoire sur un domaine

Appliquez cette procédure pour accorder l’autorisation Répliquer les changements de répertoire sur un domaine à un compte.

L’autorisation Répliquer les changements de répertoire permet au compte de synchronisation de lire des objets AD DS et de découvrir les objets AD DS ayant été modifiés dans le domaine. Elle ne permet pas à un compte de créer, modifier ou supprimer des objets AD DS.

Pour accorder l’autorisation Répliquer les changements de répertoire sur un domaine

  1. Sur le contrôleur de domaine, cliquez sur Démarrer, Outils d’administration, puis Utilisateurs et ordinateurs Active Directory.

  2. Dans Utilisateurs et ordinateurs Active Directory, cliquez avec le bouton droit sur le domaine, puis cliquez sur Délégation de contrôle.

  3. Dans la première page de l’Assistant Délégation de contrôle, cliquez sur Suivant.

  4. Dans la page Utilisateurs ou groupes, cliquez sur Ajouter.

  5. Tapez le nom du compte de synchronisation, puis cliquez sur OK.

  6. Cliquez sur Suivant.

  7. Dans la page Tâches à déléguer, sélectionnez Créer une tâche personnalisée à déléguer, puis cliquez sur Suivant.

  8. Dans la page Type d’objet Active Directory, sélectionnez De ce dossier et des objets qui s’y trouvent. Déléguer aussi la création de nouveaux objets dans ce dossier, puis cliquez sur Suivant.

  9. Dans la page Autorisations, dans la zone Autorisations, sélectionnez Réplication des changements de répertoire (sélectionnez Répliquer les changements de répertoire sur Windows Server 2003), puis cliquez sur Suivant.

  10. Cliquez sur Terminer.

Ajouter un compte au groupe Accès compatible pré-Windows 2000

Appliquez cette procédure pour ajouter un compte au groupe Accès compatible pré-Windows 2000.

Pour ajouter un compte au groupe Accès compatible pré-Windows 2000

  1. Sur le contrôleur de domaine, cliquez sur Démarrer, Outils d’administration, puis Utilisateurs et ordinateurs Active Directory.

  2. Dans Utilisateurs et ordinateurs Active Directory, développez le domaine, développez Intégré, cliquez avec le bouton droit sur Accès compatible pré-Windows 2000, puis cliquez sur Propriétés.

  3. Dans la boîte de dialogue Propriétés, cliquez sur l’onglet Membres, puis cliquez sur Ajouter.

  4. Tapez le nom du compte de synchronisation, puis cliquez sur OK.

  5. Cliquez sur OK.

Accorder l’autorisation Répliquer les changements de répertoire sur le conteneur cn=configuration

Appliquez cette procédure pour accorder l’autorisation Répliquer les changements de répertoire sur le conteneur cn=configuration à un compte.

Pour accorder l’autorisation Répliquer les changements de répertoire sur le conteneur cn=configuration

  1. Sur le contrôleur de domaine, cliquez sur Démarrer, sur Exécuter, tapez adsiedit.msc, puis cliquez sur OK.

  2. Si le nœud Configuration est absent, procédez comme suit :

    1. Dans le volet de navigation, cliquez sur Modification ADSI.

    2. Dans le menu Action, cliquez sur Connexion à .

    3. Dans la zone Point de connexion de la boîte de dialogue Paramètre de connexion, cliquez sur Sélectionnez un contexte d’attribution de noms connu, sélectionnez Configuration dans la liste déroulante, puis cliquez sur OK.

  3. Développez le nœud Configuration, cliquez avec le bouton droit sur le nœud CN=Configuration..., puis cliquez sur Propriétés.

  4. Dans la boîte de dialogue Propriétés, cliquez sur l’onglet Sécurité.

  5. Dans la section Noms de groupes ou d’utilisateurs, cliquez sur Ajouter.

  6. Tapez le nom du compte de synchronisation, puis cliquez sur OK.

  7. Dans la section Noms de groupes ou d’utilisateurs, sélectionnez le compte de synchronisation.

  8. Dans la section Autorisations, activez la case à cocher Autoriser en regard de l’autorisation Réplication des changements de répertoire (Répliquer les changements de répertoire sur Windows Server 2003), puis cliquez sur OK.

Accorder les autorisations Créer des objets enfants et Écrire

Appliquez cette procédure pour accorder l’autorisation Créer des objets enfants et Écrire à un compte.

Pour accorder les autorisations Créer des objets enfants et Écrire

  1. Sur le contrôleur de domaine, cliquez sur Démarrer, sur Exécuter, tapez adsiedit.msc, puis cliquez sur OK.

  2. Si le nœud Contexte d’attribution de noms par défaut est absent, procédez comme suit :

    1. Dans le volet de navigation, cliquez sur Modification ADSI.

    2. Dans le menu Action, cliquez sur Connexion à .

    3. Dans la zone Point de connexion de la boîte de dialogue Paramètre de connexion, cliquez sur Sélectionnez un contexte d’attribution de noms connu, sélectionnez Contexte d’attribution de noms par défaut dans la liste déroulante, puis cliquez sur OK.

  3. Dans le volet de navigation de la fenêtre Modification ADSI, développez le domaine, développez le nœud DC=..., cliquez avec le bouton droit sur l’unité d’organisation à laquelle vous souhaitez accorder des autorisations, puis cliquez sur Propriétés.

  4. Sous l’onglet Sécurité de la boîte de dialogue Propriétés, cliquez sur Avancé.

  5. Dans la boîte de dialogue Paramètres de sécurité avancés, sélectionnez la ligne dont la valeur de la colonne Nom correspond au compte de synchronisation et dont la valeur de la colonne Héritée de est <non héritée>, puis cliquez sur Modifier. Si cette ligne est absente, cliquez sur Ajouter, sur Emplacements, sélectionnez Tout l’annuaire, cliquez sur OK, tapez le compte de synchronisation, puis cliquez sur OK. Cette opération ajoute la ligne appropriée, que vous pouvez maintenant sélectionner.

    Notes

    Ne sélectionnez pas la ligne du compte de synchronisation qui est hérité d’un autre emplacement, car cela vous permettrait uniquement d’appliquer les autorisations à l’unité d’organisation, et non au contenu de cette unité d’organisation.

  6. Dans la boîte de dialogue Entrée d’autorisation, sélectionnez Cet objet et tous ceux descendants dans la zone Appliquer à, (sélectionnez Cet objet et tous les objets enfant sur Windows Server 2003), activez la case à cocher Autoriser sur les lignes des propriétés Écrire toutes les propriétés et Créer tous les objets enfants, puis cliquez sur OK.

  7. Cliquez sur OK pour fermer la boîte de dialogue Paramètres de sécurité avancés.

  8. Cliquez sur OK pour fermer la boîte de dialogue Propriétés.

  9. Répétez les étapes 3 à 8 pour accorder des autorisations sur des unités d’organisation supplémentaires.

See Also

Concepts

Planifier la synchronisation des profils (SharePoint Server 2010)
Configurer la synchronisation de profil (SharePoint Server 2010)