SharePoint Server 包含用于同步用户配置文件的服务。 此功能允许将用户配置文件存储在一个中心位置,并跨多个 SharePoint 站点和场访问它们。 若要配置 SharePoint Server 用户配置文件服务,必须在 Microsoft Entra 域服务托管域中授予相应的权限。 有关详细信息,请参阅 SharePoint Server 中的用户配置文件同步。
本文介绍如何配置域服务以允许 SharePoint Server 用户配置文件同步服务。
在您开始之前
若要完成本文,需要以下资源和权限:
- 有效的 Azure 订阅。
- 如果你没有 Azure 订阅,请创建一个帐户。
- 与您的订阅关联的 Microsoft Entra 租户,可以是与本地目录同步的,也可以是仅限于云端的目录。
- 在 Microsoft Entra 租户中启用和配置的 Microsoft Entra 域服务托管域。
- 请根据需要完成创建并配置 Microsoft Entra 域服务托管域的教程。
- 已加入域服务托管域的 Windows Server 管理 VM。
- 如果需要,请完成创建 管理 VM 的教程。
- 属于 Microsoft Entra 租户中“Microsoft Entra DC 管理员”组的用户帐户。
- 用户配置文件同步服务的 SharePoint 服务帐户名称。 有关 配置文件同步帐户的详细信息,请参阅 SharePoint Server 中的管理和服务帐户计划。 若要从 SharePoint 管理中心网站获取 配置文件同步帐户 名称,请单击 “应用程序管理服务>应用程序>用户配置文件服务应用程序”。 有关详细信息,请参阅 在 SharePoint Server 中使用 SharePoint Active Directory 导入来配置配置文件同步。
服务帐户概述
在托管域中,名为 Microsoft Entra DC 服务帐户 的安全组作为 用户 组织单位(OU)的一部分存在。 此安全组的成员将委派以下特权:
- 根 DSE 具有“复制目录更改”特权。
- 对“配置”命名上下文(
cn=configuration容器)具有”复制目录更改”特权。
Microsoft Entra DC 服务帐户安全组也是内置组 Pre-Windows 2000 兼容访问的成员。
添加到此安全组时,向 SharePoint Server 用户配置文件同步服务的服务帐户授予正常工作所需的权限。
启用对 SharePoint Server 用户配置文件同步的支持
SharePoint Server 的服务帐户需要足够的权限才能将更改复制到目录,并允许 SharePoint Server 用户配置文件同步正常工作。 若要提供这些权限,请将用于 SharePoint 用户配置文件同步的服务帐户添加到 Microsoft Entra DC 服务帐户 组。
在域服务管理 VM 中,完成以下步骤:
注释
若要编辑托管域中的组成员身份,必须登录到属于 AAD DC 管理员 组成员的用户帐户。
在“开始”屏幕中选择“管理工具”。 本教程中显示了用于 创建管理 VM 的可用管理工具列表。
若要管理组成员身份,请从管理工具列表中选择 Active Directory 管理中心 。
在左窗格中,选择托管域,例如 aaddscontoso.com。 将显示现有 OU 和资源的列表。
选择 用户 OU,然后选择 Microsoft Entra DC 服务帐户 安全组。
选择 “成员”,然后选择“ 添加...”。
输入 SharePoint 服务帐户的名称,然后选择“ 确定”。 在以下示例中,SharePoint 服务帐户命名为 spadmin:
