Выясняется странная ситуация: у части пользователей доступ есть, у части пользователей доступа нет. Причём все они в группе AD присутствуют. Это самая неприятная ситуация, когда что- то не работает частично. Куда проще, когда вообще не работает: значит где- то что- то отвалилось или не настроено. А вот при частичном отказе – всё настроено и найти место, которое периодически создаёт проблему (может проблем даже несколько сразу – наложенные проблемы), всегда намного сложнее.
Итак, всю задачу можно разделить на два этапа: Экспорт данных из Active Directory. Импорт данных в список Sharepoint.
Добавил тестового пользователя в группу – доступа нет. Появилась гипотеза, что доступ есть у тех пользователей, которые были в группе давно, и доступа нет у вновь добавленных пользователей. Это помогло найти рекомендации по уменьшению времени жизни claim based дескриптора безопасности. Именно claim based, потому что в Sharepoint Server 2. Но после нарезания нескольких «кругов» и поиска корня проблемы в других местах (репликация профилей и групп из AD, обновление SID пользователя с помощью stsadm –o migrateuser –oldlogin DOMAIN\user –newlogin DOMAIN\user –ignoresidhistory), пришлось вернуться на эту дорогу снова. И тут обнаружился ещё один параметр связанный с временем жизни дескриптора безопасности, только на этот раз дескриптора безопасности не claim based, а самого Windows: оказывается Sharepoint кэширует эти дескрипторы, включая членство в группах.
Этот параметр настраивается для фермы Sharepoint с помощью утилиты spsadm. Starlight 8 Класс Решебник. Для теста выставляем свойство в 5 минут.
Перезапуск IIS на всех серверах. После этого тестовый пользователь получил доступ – проблема была решена. Осталось только выставить более подходящие значения времени кэширования (например, один час), чтобы не создавать лишнюю нагрузку на домен- контроллеры. Полезные ссылки: Share. Point 2. 01. 3 Claim Expiration and AD Sync.
Понравилось это: Нравится. Загрузка.. Похожее. Filed under: Active Directory, Sharepoint, Windows.