概述
Active Directory 扫描将查找在客户的 Active Directory 的源 SharePoint 环境中找到的任何 Windows 标识。
如果没有 Windows 标识,则此扫描不会执行任何工作。
此评估扫描有两个不同的步骤:
发现可用的 Active Directory 林。
在 Active Directory 中查找标识。
发现 Active Directory 林
我们发现 SharePoint 服务器连接到的林。 然后,枚举信任以查找所有受信任的林。 找到受信任的林后,将枚举林中的所有域。
如果当前登录的用户无法读取请求的林,此过程可能会提示输入凭据。 我们将重试连接三次,因此,如果输入无效的凭据,将进行多次尝试。 该工具将缓存为当前执行输入的凭据。
在 Active Directory 中查找标识
发现林后,我们将使用缓存凭据使用安全标识符 [SID] 在 Active Directory 中查找用户/组。 标识映射并非 100% 需要此信息。 但是,如果标识标记为 NoMatch 或 PartialMatch,此信息对于跟踪标识的其他信息非常有用。 例如,你有一个用户在 SharePoint 中显示为“活动”,但在 Active Directory 中显示为“已禁用”。 使用 NoMatch 看到此用户是意料之中的,因为该用户不太可能同步到Microsoft Entra ID。
应用场景
林 SharePoint 与用户林之间的双向信任。 用户使用域帐户登录到 SharePoint 计算机。 在这种情况下,作员不太可能收到提示,因为其域凭据应该能够读取关联的域。
林 SharePoint 与用户林之间的单向信任。 所有用户林相互信任。 在此方案中,用户以 SharePoint 林中的帐户身份登录到 SharePoint。 查询林时,我们将提示输入凭据以读取第一个用户林。 我们将缓存这些凭据,并将其用于剩余的林。 在此方案中,作员会看到一个登录提示。
林 SharePoint 与用户林之间的单向信任。 用户林互不信任。 在此方案中,用户以 SharePoint 林中的帐户身份登录到 SharePoint。 查询林时,我们将提示输入每个林。 如果有 20 个用户林互不信任,你会看到 20 个登录提示。