Поделиться через

Предоставление доменным службам Active Directory разрешений для синхронизации профилей (SharePoint Server 2010)

  • Статья

 

Применимо к: SharePoint Server 2010

Последнее изменение раздела: 2011-06-15

В этой статье описываются процедуры, с помощью которых администратор доменных служб Active Directory (AD DS) может настроить разрешения, необходимые для синхронизации данных профиля с Microsoft SharePoint Server 2010. В разделе Планирование разрешений учетной записи из статьи "Планирование синхронизации профиля" описывается, какие разрешения требуются в конкретных ситуациях.

В процедурах из этой статьи термин "учетная запись синхронизации" используется для учетной записи, которой предоставляются разрешения. С помощью нее SharePoint Server подключается к доменным службам Active Directory во время синхронизации профиля.

Содержание:

  • Предоставление разрешения "Репликация изменений каталога" для домена

  • Добавление учетной записи в группу "Пред-Windows 2000 доступ"

  • Предоставление разрешения "Репликация изменений каталога" для контейнера cn=configuration

  • Предоставление разрешений "Создание дочерних объектов" и "Запись"

Предоставление разрешения "Репликация изменений каталога" для домена

Эта процедура позволяет предоставить учетной записи разрешение "Репликация изменений каталога" для домена.

Разрешение "Репликация изменений каталога" позволяет учетной записи синхронизации считывать объекты доменных служб Active Directory и обнаруживать в этих службах объекты, которые менялись в домене. Разрешение "Репликация изменений каталога" не позволяет учетной записи создавать, менять или удалять объекты доменных служб Active Directory.

Предоставление разрешения "Репликация изменений каталога" для домена

  1. На контроллере домена нажмите кнопку Пуск, выберите Администрирование и затем Active Directory — пользователи и компьютеры.

  2. В оснастке "Active Directory — пользователи и компьютеры" щелкните правой кнопкой мыши домен и выберите Делегировать управление.

  3. На первой странице мастера делегирования управления нажмите кнопку Далее.

  4. На странице "Пользователи и группы" нажмите кнопку Добавить.

  5. Введите имя учетной записи для синхронизации и затем нажмите кнопку ОК.

  6. Нажмите кнопку Далее.

  7. На странице "Делегируемые задачи" выберите Создать особую задачу для делегирования и нажмите кнопку Далее.

  8. На странице "Тип объекта Active Directory" выберите этой папкой, существующими в ней объектами и созданием новых объектов в этой папке и нажмите кнопку Далее.

  9. На странице "Разрешения" в поле Разрешения выберите Репликация изменений каталога (выберите Репликация изменений каталога в Windows Server 2003) и нажмите кнопку Далее.

  10. Нажмите Готово.

Добавление учетной записи в группу "Пред-Windows 2000 доступ"

Используйте эту процедуру для добавления учетной записи в группу "Пред-Windows 2000 доступ".

Добавление учетной записи в группу "Пред-Windows 2000 доступ"

  1. На контроллере домена нажмите кнопку Пуск, выберите Администрирование и затем Active Directory — пользователи и компьютеры.

  2. В оснастке "Active Directory — пользователи и компьютеры" разверните домен, разверните Встроенные, щелкните правой кнопкой мыши Пред-Windows 2000 доступ и выберите Свойства.

  3. В диалоговом окне Свойства перейдите на вкладку Участники и нажмите кнопку Добавить.

  4. Введите имя учетной записи для синхронизации и затем нажмите кнопку ОК.

  5. Нажмите кнопку ОК.

Предоставление разрешения "Репликация изменений каталога" для контейнера cn=configuration

Используйте эту процедуру для предоставления учетной записи разрешения "Репликация изменений каталога" для контейнера cn=configuration.

Предоставление разрешения "Репликация изменений каталога" для контейнера cn=configuration

  1. На контроллере домена нажмите кнопку Пуск, выберите Выполнить, введите adsiedit.msc, а затем нажмите кнопку ОК.

  2. Если узел Конфигурация отсутствует, выполните перечисленные ниже действия.

    1. В панели навигации щелкните Редактирование ADSI.

    2. В меню Действие выберите команду Подключиться к другому компьютеру.

    3. В области Точка подключения диалогового окна Параметры подключения щелкните Выберите известный контекст именования, выберите в раскрывающемся списке Конфигурация и нажмите кнопку OK.

  3. Разверните узел Конфигурация, щелкните правой кнопкой мыши узел CN=Configuration... и выберите пункт Свойства.

  4. В диалоговом окне Свойства перейдите на вкладку Безопасность.

  5. В разделе Группы или пользователи нажмите кнопку Добавить.

  6. Введите имя учетной записи для синхронизации и затем нажмите кнопку ОК.

  7. В разделе Группы или пользователя выберите учетную запись синхронизации.

  8. В разделе Разрешения установите флажок Разрешить рядом с разрешением Репликация изменений каталога (Репликация изменений каталога в Windows Server 2003) и нажмите кнопку OK.

Предоставление разрешений "Создание дочерних объектов" и "Запись"

Используйте эту процедуру для предоставления учетной записи разрешений "Создание дочерних объектов" и "Запись"

Предоставление разрешений "Создание дочерних объектов" и "Запись"

  1. На контроллере домена нажмите кнопку Пуск, выберите Выполнить, введите adsiedit.msc, а затем нажмите кнопку ОК.

  2. Если узел Контекст именования по умолчанию отсутствует, выполните перечисленные ниже действия.

    1. В панели навигации щелкните Редактирование ADSI.

    2. В меню Действие выберите команду Подключиться к другому компьютеру.

    3. В области Точка подключения диалогового окна Параметры подключения щелкните Выберите известный контекст именования, выберите в раскрывающемся списке Контекст именования по умолчанию и нажмите кнопку OK.

  3. В панели навигации окна Редактирование ADSI разверните домен, разверните узел DC=..., щелкните правой кнопкой мыши подразделение, которому нужно предоставить разрешение, и выберите пункт Свойства.

  4. На вкладке Безопасность диалогового окна Свойства нажмите кнопку Дополнительно.

  5. В диалоговом окне Дополнительные параметры безопасности выберите строку, у которой в столбце Имя указана учетная запись синхронизации, а в столбце Унаследовано от указано <не унаследовано>, и нажмите кнопку Изменить. Если этой строки нет, нажмите кнопку Добавить, выберите Расположения, Весь каталог, нажмите кнопку OK, введите учетную запись синхронизации и нажмите кнопку OK. Будет добавлена соответствующая строка, которую можно будет выбрать.

    Примечание

    Не выбирайте строку для учетной записи синхронизации, которая унаследована от другого расположения. В этом случае применять разрешения можно будет только к подразделению, а не к контенту подразделения.

  6. В диалоговом окне Запись разрешения выберите Этот объект и все дочерние объекты в поле Применить к:, (выберите Этот объект и все дочерние объекты в Windows Server 2003), установите флажок Разрешить в строках для свойств Запись любых свойств и Создание любых дочерних объектов и нажмите кнопку OK.

  7. Нажмите кнопку OK, чтобы закрыть диалоговое окно Дополнительные параметры безопасности.

  8. Нажмите ОК, чтобы закрыть диалоговое окноСвойства.

  9. Повторите шаги 3–8, чтобы предоставить разрешения другим подразделениям.

See Also

Concepts

План синхронизации профиля (SharePoint Server 2010)
Настройка синхронизации профилей (SharePoint Server 2010)