管理 Project Server 2007 的 Active Directory 同步處理
更新日期: 2008年8月
上次修改主題的時間: 2015-02-27
Project Server 使用者和資源可與不同網域及樹系的 Active Directory 目錄服務使用者進行同步處理。這項功能有助於管理員處理繁冗的工作,例如手動新增大量使用者、更新使用者的中繼資料 (如電子郵件地址),以及停用不再需要存取系統的使用者。Active Directory 同步處理可以手動進行,也可以依自動化排程進行。Active Directory 同步處理只會變更 Project Server 資料,而不會變更 Active Directory 資料。Active Directory 資料僅供查詢之用。
同步處理會更新 Project Server 使用者/資源屬性
同步處理時,Project Server 2007 會更新特定 Active Directory 使用者中繼資料欄位的下列 Project Server 使用者/資源屬性:
| Active Directory 使用者屬性 | Project Server 使用者/資源屬性 | ||
|---|---|---|---|
ADGUID (UserObject.objectGUID) |
儲存於 Project Server 發佈資料庫 (MSP_RESOURCES 表格中的 WRES_AD_GUID 欄位)。在 Project Web Access 使用者介面中無法檢視此屬性。 |
||
Windows 使用者帳戶 (domain\sAMAccountName) |
Windows 使用者帳戶 |
||
顯示名稱 (UserObject.displayName) |
顯示名稱/資源名稱 |
||
電子郵件地址 (UserObject.mail) |
電子郵件地址 |
||
部門 (UserObject.department) |
群組 (僅限資源屬性)
|
您可以使用伺服器端處理常式,自訂 Active Directory 同步處理以對應至其他中繼資料欄位。如需服器端處理常式的詳細資訊,請參閱 MSDN Library Online 中的撰寫和偵錯 Project Server 2007 的事件處理常式 (英文) (https://go.microsoft.com/fwlink/?linkid=126633\&clcid=0x404)。
額外的 Active Directory 欄位要對應至資源自訂欄位可能需要透過 Project Server 2007 AD/資源同步公用程式 (英文) (https://go.microsoft.com/fwlink/?linkid=126634\&clcid=0x404) (透過 CodePlex 所提供)。
.gif "Note") 附註: |
|---|
| Microsoft 並不負責控管、審閱、修訂、保證或發佈 CodePlex 網站上的協力廠商專案。請自行承擔使用這些專案的風險。Microsoft 主控 CodePlex 網站僅單純作為 Web 儲存網站之用,藉以服務開發人員社群。 |
Active Directory 同步處理的最佳作法
以下是 Microsoft 建議在 Project Server 2007 中管理 Active Directory 同步處理時的最佳作法:
建立特定 Active Directory 群組,對應至每個 Project Server 安全性群組與 Project Server 企業資源資料庫。例如提供新的 Active Directory 群組名稱 (如 “Project Server — ERP”、“Project Server — Project Managers”、“Project Server — Executives”)。而比較好的組織方式,是將這些群組中既有的 Active Directory 群組以巢狀方式編排。
一律先同步處理企業資源資料庫,再同步處理 Project Server 安全性群組。這可確保企業資源屬性的設定正確。
設定同步處理排程,以充分滿足您的商務需求。如果增加新使用者的頻率很高,或是因為使用者在組織內變動職務,您可能會希望同步處理排程能每天執行,或者每週執行。以最佳作法角度而言,請一律將同步處理排程設為非工作時間或在離峰時段執行。之所以如此建議,是因為執行同步處理時,會連帶使得 Windows SharePoint Services 重新同步處理權限,而導致所有使用者將暫時失去網站存取權。
檢視伺服器陣列之應用程式伺服器的應用程式事件記錄檔,以疑難排解同步處理問題。您還可以從「統一登入服務」(ULS) 記錄檔中取得 Active Directory 同步處理問題的進一步詳細資訊 (例如,如果使用者遭鎖定,ULS 記錄檔中會包括 DEADLOCK 項目。請參閱下面的注意事項)。您可以在 SharePoint 管理中心網站上將 ULS 記錄檔記錄設定成提供更多關於所要擷取的 Active Directory 事件詳細資訊。這些設定可在 [診斷記錄] 頁面的 [作業] 索引標籤中設定。在此頁面上,您可以將 [事件節流] 設成 [Project Server Active Directory 同步處理] 類別,以使 ULS 記錄檔設定成僅擷取 Active Directory 同步處理資訊。此外,還可以將 [回報至追蹤記錄的最低緊急事件] 設成 [詳細資訊]。如需設定記錄選項的詳細資訊,請參閱<設定診斷記錄 (Project Server)>。
.gif "Caution")
注意:在某些情況下,讓 Project Server 使用者和工作區與 Active Directory 同步處理可能會造成「死結」問題,也就是所有使用者都遭鎖定,被排除在 PWA 網站或各自工作區之外。這會導致使用者同步處理工作失敗,且只有部分或沒有任何網站權限進行同步處理。使用者可能無法登入 PWA 或他們的工作區。
發生死結的原因,是因為使用者同步處理程序花費太長時間完成,而此問題是由於同步處理程序反覆處理過多使用者和工作區,例如,因為有大量成員資格變更。若同步處理程序一直處於佇列太久,將提高其他工作不慎啟動的機率,而這也會發生死結問題。
若要降低發生死結的機率,您可以執行下列動作:在執行大量群組成員資格變更之前,請先確定佇列中沒有名為 “User Synchronization for Project Web Access App Root Site and Project WSS Workspaces” 的工作正在處理中,或是等待處理。
執行 CodePlex 網站上的 Project Server 工作區同步 (英文)工具 (https://go.microsoft.com/fwlink/?linkid=147394&clcid=0x404)。此工具可控制工作啟動後要同步處理的項目:是 PWA 和工作區、或只有工作區、或只有 PWA、或 PWA 和工作區都不要執行同步處理,並且可讓管理員在伺服器負荷較低的非工作時間或離峰時段,執行使用者同步處理。
請注意,Project Server 工作區同步工具並不會使同步處理程序的處理速度快過正常速度。不過,要是能在伺服器負荷較低時段進行使用者同步處理,將可降低同步處理失敗機率。
確定指定給 Project Server 應用程式之共用服務提供者的帳戶有權可從同步處理程序所有使用的 Active Directory 網域與樹系中讀取。請注意,所有 Active Directory 同步處理程序都會使用這個帳戶,即使您是透過其他使用者帳戶手動執行這些同步處理。
Active Directory 顯示名稱中指定伺服器的清單分隔符號字元,可能會因為同步處理程序而在 Project Web Access 中被取代。Office Project Server 2007 所定義的清單分隔符號為逗號,因此,如果 Active Directory 顯示名稱包含逗號,就會被取代成分號。這對於通常在顯示名稱中使用逗號字元的案例來說,就會造成問題。
如果使用資源自訂欄位,請確認這些欄位並未設成「必要」。如果這些欄位設成必要,卻沒有包含任何值,Active Directory 同步處理可能會失敗,因為它不知道要在必要欄位中放入哪個值。您可以停用這些欄位的「必要」選項,或是實作伺服器端事件處理常式,讓同步處理時可填入必要自訂欄位。如需伺服器端事件處理常式的詳細資訊,請參閱 MSDN Library Online 中的撰寫和偵錯 Project Server 2007 的事件處理常式 (英文) (https://go.microsoft.com/fwlink/?linkid=126633\&clcid=0x404)。
當透過 Project Web Access 對 Project Server 新增使用者時,請務必確定該使用者的顯示名稱 (UserObject.displayName) 與他/她在 Active Directory 中的顯示名稱一致。如果執行 Active Directory 同步處理之後發現顯示名稱不相符,此顯示名稱衝突就會產生部分失敗,且不會更新該帳戶。
工作需求
以下是執行這項工作之程序的必要條件:
使用具有 [管理 Active Directory 設定] 及 [管理使用者與群組] 全域設定的帳戶,透過 Project Web Access 存取 Project Server。
所有與同步處理相關之 Active Directory 群組與使用者帳戶的讀取存取權 (針對 Project Server 執行個體的 SSP 服務帳戶)。您可以在 SharePoint 管理中心網站之 [共用服務管理] 頁面的 SSP 屬性中驗證此帳戶。
附註:如需 SSP 服務帳戶的詳細資訊,請參閱<規劃管理帳戶和服務帳戶 (Project Server)>。
若要在 Project Server 2007 中管理 Active Directory 同步處理,可以執行下列程序。您可以針對企業資源資料庫或 Project Server 安全性群組設定 Active Directory 同步處理。這兩項程序互不相關。