Управление соединениями между доменами в нескольких лесах
В некоторых сценариях требуется возможность подключения к службам каталогов в различных лесах.
В организациях часто планируется развертывание нескольких лесов по следующим причинам:
Автономность службы: в рабочих требованиях указано, что службы должны внедряться определенным подразделением, а не для всей организации, например территориально рассредоточенные развертывания.
Изоляция служб: в юридических или рабочих требованиях указана необходимость полного отделения служб. Одним из примеров являются внешние среды, в которых развертывание каждого клиента находится в другом лесу.
Изоляция данных: в некоторых сценариях данные организации являются общедоступными, однако важные данные могут просматривать только определенные люди внутри организации. Такая ситуация является сравнительно распространенной среди компаний, оказывающих финансовые услуги.
Некоторые развертывания нескольких лесов являются незапланированными и выполняются в результате неожиданных изменений в структуре или бизнес-потребностях организации. Примеры подобных развертываний включают:
Слияния и приобретения: объединение двух или более компаний, которые ранее действовали отдельно. Пользователи в новой организации должны иметь возможность выполнять поиск и взаимодействовать друг с другом.
Разделения компаний: планируется разделить ранее общий домен единой компании между двумя или более организациями, что требует переноса в два или более лесов. Во время переноса требуется некоторый уровень совместной работы и персонализации между новыми лесами.
Тестовые леса: размещенное развертывание проверяется перед внедрением. В большинстве случаев службы должны быть раздельными, однако пользователи в текстовом лесу по-прежнему нужно видеть данные о людях в других лесах.
Развертывания нулевого уровня: подразделение внутри организации создало отдельный лес без центрального ИТ-планирования, который необходимо интегрировать в общее развертывание. Во время интеграции требуется некоторый уровень совместной работы и персонализации в зависимости от того, исключается ли развертывание нулевого уровня или становится новым запланированным и поддерживаемым лесом в рамках единого ИТ-плана.
Несмотря на то, что автономность служб, изоляция служб и изоляция данных также учитываются в сценариях с несколькими поставщиками общих услуг в Microsoft Office SharePoint Server 2007, соответствующие службы отличаются и решение об использовании нескольких лесов отличается от решения об использовании одного или нескольких поставщиков общих служб.
Службы каталогов являются одними из основных служб, которые подвержены влиянию во всех этих потенциальных сценариях. В зависимости от сценария выполняются подключения ко всем лесам в организации, в которых совместно используются личные данные. Данные каталогов затем становятся доступными через поставщика общих служб, обеспечивая совместную работу, поиск данных о людях в организации или направление определенной информации различным аудиториям внутри организации. Все службы, отличные от общих служб для Office SharePoint Server 2007 сохраняют ту же степень автономии и изоляции, которая существовала до развертывания Office SharePoint Server 2007. Сколько информации является общедоступной, каким образом и продолжительность общего доступа зависят от конкретного сценария.
По умолчанию Office SharePoint Server 2007 можно настроить для подключения к службам каталогов в текущем домене или лесуи импорта данных службы каталогов из этих источников. Чтобы добавить подключения к нескольким лесам, выбирается параметр настройки, а затем настраивается подключение для каждого леса с данными каталога, которые необходимо импортировать. Это позволяет импортировать профили пользователей, находящихся в нескольких лесах, и направлять индивидуальный контент для любых или всех этих пользователей.
Импортированные соединения в леса могут со временем стать ненужными, либо поскольку пользователи объединены в меньшее число лесов, либо по причине отсутствия бизнес-потребности подключения к определенным пользователям. Подключения в разных лесах можно удалять точно так же, как удаляются любые импортированные соединения. Для получения дополнительных сведений см. раздел Удаление подключений импорта.
Выбор людей или групп из нескольких лесов
Могут потребоваться дополнительные действия для выбора пользователей в нескольких лесах с использованием диалогового окна Выбор лиц и групп, которое также называется веб-элементом управления выбором лиц. Если учетная запись пула приложений для веб-приложения имеет доступ к другим лесам, то это веб-приложение будет иметь доступ к личной информации, и все пользователи в подключенных лесах отобразятся в окне выбора людей для веб-приложения. Если учетная запись пула приложений не имеет доступа, но конечный домен или лес являются надежными для текущего домена или леса, необходимо запустить программу командной строки Stsadm для выбора людей для каждого веб-приложения в ферме серверов. Если конечный домен или лес не являются надежными для текущего домена или леса, необходимо сначала запустить программу Stsadm для настройки пароля для всех серверов в ферме серверов, где настраивается веб-приложение. Пароль должен быть одинаковым для всех серверов в ферме и уникальным для каждой фермы серверов. После настройки пароля необходимо запустить программу Stsadm на каждом веб-приложении в ферме серверов.
Для управления подключениями службы каталогов в нескольких доменах лесов необходимо выполнить одну или обе следующие процедуры.