Partilhar via


Gerenciar a sincronização do Active Directory no Project Server 2007

Atualizado: agosto de 2008

 

Tópico modificado em: 2015-02-27

Os usuários e recursos do Project Server podem ser sincronizados com os usuários do serviço de diretório do Active Directory em vários domínios e florestas. Esse recurso ajuda os administradores nas tarefas monótonas, como adicionar manualmente grandes quantidades de usuários, atualizar metadados de usuários, como endereços de email, e desativar usuários que não precisam mais de acesso ao sistema. A sincronização do Active Directory pode ser feita manualmente ou com um agendamento automatizado. Quando ocorre a sincronização do Active Directory, somente os dados do Project Server são alterados. Os dados do Active Directory nunca são alterados — são apenas consultados.

Propriedades de usuários/recursos do Project Server atualizadas durante a sincronização

Quando a sincronização ocorre, o Project Server 2007 atualiza as seguintes propriedades de usuários/recursos do Project Server com campos de metadados de usuários do Active Directory específicos:

Propriedade de usuário do Active Directory Propriedade de usuário/recurso do Project Server

ADGUID (UserObject.objectGUID)

Armazenada no banco de dados Publicado do Project Server (campo WRES_AD_GUID na tabela MSP_RESOURCES). Esta propriedade não é visível na interface do usuário do Project Web Access.

Conta de Usuário do Windows (domain\sAMAccountName)

Conta de Usuário do Windows

Nome para Exibição (UserObject.displayName)

Nome para exibição/Nome do recurso

Endereço de Email (UserObject.mail)

Endereço de Email

Departamento (UserObject.department)

Grupo (somente propriedade de recurso)

NoteObservação:
Não se refere a grupos de segurança do Project Server.

Você pode personalizar a sincronização do Active Directory para mapear para campos de metadados adicionais usando manipuladores do lado do servidor. Para obter mais informações sobre manipuladores do lado do servidor, consulte o artigo sobre escrita e depuração de manipuladores de eventos para o Project Server 2007 (em inglês) (https://go.microsoft.com/fwlink/?linkid=126633\&clcid=0x416) (em inglês) na biblioteca do MSDN online.

Campos adicionais do Active Directory podem ser mapeados para campos personalizados de recursos por meio do Utilitário de Sincronização de AD/Recursos do Project Server 2007 (em inglês) (https://go.microsoft.com/fwlink/?linkid=126634\&clcid=0x416) (em inglês) disponível por meio do CodePlex.

NoteObservação:
A Microsoft não controla, revisa, endossa ou distribui os projetos de terceiros no site do CodePlex. Use os projetos por seu próprio risco. A Microsoft está hospedando o site da CodePlex unicamente como site de armazenamento da Web como um serviço para a comunidade do desenvolvedor.

Práticas recomendadas para a sincronização do Active Directory

A seguir estão as práticas recomendadas pela Microsoft para gerenciar a sincronização do Active Directory no Project Server 2007:

  • Crie grupos do Active Directory específicos que correspondam a cada grupo de segurança do Project Server e ao pool de recursos de empresa do Project Server. Por exemplo, atribua aos novos grupos do Active Directory nomes como “Project Server — ERP”, “Project Server — Gerentes de Projeto”, “Project Server — Executivos”. Aninhe os grupos do Active Directory existentes nesses grupos para permitir uma melhor organização.

  • Sempre sincronize o pool de recursos da empresa primeiro e depois os grupos de segurança do Project Server. Isso garante que as propriedades de recurso da empresa sejam configuradas corretamente.

  • Programe a sincronização para melhor se ajustar às suas necessidades de negócios. Se novos usuários forem adicionados com frequência, ou se os usuários mudarem suas posições nas suas organizações, você pode querer programar a sincronização para ocorrer diariamente. Caso contrário, você pode programar para ocorrer semanalmente. Como prática recomendada, sempre programe a sincronização para ocorrer durante horas sem trabalho ou fora de pico. Recomendamos isso porque quando a sincronização ocorre, ela causa a ressincronização de permissões com o Windows SharePoint Services, fazendo todos os usuários perderem temporariamente o acesso ao site.

  • Solucione problemas de sincronização examinando o log de eventos de aplicativo no servidor de aplicativos do farm. Você também pode usar os logs do Serviço de Log Unificado (ULS) para obter mais detalhes sobre os problemas de sincronização do Active Directory (por exemplo, o log do ULS conterá entradas DEADLOCK se ocorreu um bloqueio do usuário – consulte Cuidado abaixo). Você pode configurar suas configurações de log do ULS no site de Administração Central do SharePoint para fornecer mais detalhes sobre os eventos do Active Directory que você está tentando capturar. Essas configurações podem ser definidas na guia Operações na página Log de Diagnóstico. Nessa página, você pode definir as configurações de log do ULS para capturar somente informações de sincronização do Active Directory configurando-se Limitação de Evento para a categoria Sincronização do Active Directory do Project Server. Além disso, defina Evento menos crítico a ser relatado para o log de eventos para Detalhado. Para obter mais informações sobre como configurar opções de log, consulte Configurar o log de diagnóstico (Project Server).

    Aviso

    Sob determinadas circunstâncias, sincronizar usuários e espaços de trabalho do Project Server com o Active Directory pode causar uma situação de “bloqueio” na qual todos os usuários são bloqueados do site do PWA ou dos espaços de trabalho respectivos. Isso faz outros trabalhos de sincronização do usuário falharem e as permissões do site sincronizarem parcialmente ou não se sincronizarem. Os usuários podem não conseguir fazer logon no PWA ou nos espaços de trabalho.
    Pode ocorrer um bloqueio se o processo de sincronização do usuário demorar muito para ser concluído. Isso se deve à iteração do trabalho de sincronização através de vários usuários e espaços de trabalho, por exemplo, quando ocorrem grandes alterações de associação. Um trabalho de sincronização remanescente na fila por muito tempo aumenta a possibilidade de que outros trabalhos iniciem inadvertidamente, o que também pode causar um bloqueio.
    Para reduzir a chance de bloqueio, você pode fazer o seguinte:

    • Antes de fazer grandes mudanças de associação de grupo, confirme que não existam trabalhos chamados “Sincronização de Usuário para Site Raiz de Aplicação do Project Web Access e Espaços de Trabalho do Project WSS” atualmente em processamento ou esperando para ser processado na fila.

    • Execute a ferramenta Sincronização do Espaço de Trabalho do Project Server (em inglês) no site CodePlex (https://go.microsoft.com/fwlink/?linkid=147394&clcid=0x416) (em inglês). A ferramenta controla o que será sincronizado quando o trabalho for iniciado — PWA e espaços de trabalho, e somente espaços de trabalho, somente PWA ou sem sincronização de PWA ou espaços de trabalho — e permite que o administrador efetue a sincronização de usuário durante o horário fora do expediente ou fora de pico, quando a sobrecarga do servidor é menor.

      Observe que a ferramenta de Sincronização do Espaço de Trabalho do Project Server não acelera o processo de sincronização além do normal. No entanto, ser capaz de sincronizar usuários quando a sobrecarga do servidor é menor reduz a possibilidade de falhas de sincronização.

  • Verifique se a conta especificada para o Provedor de Serviços Compartilhados do aplicativo Project Server tem permissão para ler todos os domínios e florestas do Active Directory usados na sincronização. Observe que todas as sincronizações do Active Directory utilizam esta conta, mesmo que sejam executadas manualmente por meio de uma conta de usuário diferente.

  • Os caracteres de separador de lista especificados pelo servidor em um nome de exibição do Active Directory podem ser substituídos no Project Web Access por meio do processo de sincronização. No Office Project Server 2007, o caractere separador de lista é definido como vírgula. Portanto, se um nome de exibição do Active Directory contiver uma vírgula, ela será substituída por um ponto e vírgula. Isso pode ser problemático em cenários nos quais os caracteres de vírgula são usados comumente em nomes de exibição.

  • Se você estiver usando campos personalizados de recursos, confirme se esses campos não estão definidos para "obrigatório". Se estiverem e não contiverem um valor, a sincronização do Active Directory poderá falhar, porque não sabe que valor colocar no campo obrigatório. Você pode desabilitar a opção "obrigatório" desses campos. Ou pode implementar um manipulador de eventos do servidor para preencher campos personalizados obrigatórios na sincronização. Para obter mais informações sobre manipuladores do servidor, consulte o artigo sobre escrita e depuração de manipuladores de eventos para o Project Server 2007 (em inglês) (https://go.microsoft.com/fwlink/?linkid=126633\&clcid=0x416) (em inglês) na biblioteca do MSDN online.

  • Ao adicionar usuários ao Project Server por meio do Project Web Access, verifique se está usando o mesmo nome de exibição (UserObject.displayName) para o usuário que o usado no Active Directory. Se a sincronização do Active Directory for executada e os nomes de exibição não corresponderem, o conflito com os nomes de exibição mostrará falhas parciais e a conta não será atualizada.

Requisitos da tarefa

A seguir estão os requisitos para executar os procedimentos para esta tarefa:

  • Acesso ao Project Server por meio do Project Web Access com uma conta com as configurações globais de Gerenciar Configurações do Active DirectoryGerenciar usuários e grupos

  • Acesso de leitura (para a conta do serviço SSP para a instância do Project Server) a todos os grupos e contas de usuário do Active Directory envolvidos na sincronização. Você pode verificar essa conta nas propriedades do SSP da página Administração de Serviços Compartilhados do site da Administração Central do SharePoint.

    NoteObservação:
    Para obter mais informações sobre a conta de serviço do SSP, consulte Planejar contas administrativas e de serviço (Project Server)

Para gerenciar a sincronização do Active Directory no Project Server 2007, você pode executar os procedimentos a seguir. A sincronização do Active Directory pode ser configurada para o Pool de Recursos da Empresa ou para grupos de segurança do Project Server. Os dois procedimentos não dependem um do outro.