Sharepoint Server 2. Active Directory. Чем проще ситуация, тем иной раз дольше соображаешь, как с ней справиться. Вот на днях нужно было настроить доступ к ресурсу на Sharepoint Server 2. Active Directory. Вообще для Sharepoint предоставление доступа на основе групп AD рекомендуется при большом количестве пользователей: это увеличивает производительность. После настройки доступа и проверки, что он работает, прошло какое- то время, и от пользователей пришла жалоба: «Нет доступа».

Выясняется странная ситуация: у части пользователей доступ есть, у части пользователей доступа нет. Причём все они в группе AD присутствуют. Это самая неприятная ситуация, когда что- то не работает частично. Куда проще, когда вообще не работает: значит где- то что- то отвалилось или не настроено. А вот при частичном отказе – всё настроено и найти место, которое периодически создаёт проблему (может проблем даже несколько сразу – наложенные проблемы), всегда намного сложнее.

Итак, всю задачу можно разделить на два этапа: Экспорт данных из Active Directory. Импорт данных в список Sharepoint.

1. Хотел описать, как собирал информацию о пользователях из AD и затем размещал информацию на SharePoint для удобочитаемости и.
2. Если планируется выполнять обратную синхронизацию данных, то есть экспорт из SharePoint в Active Directory.

Добавил тестового пользователя в группу – доступа нет. Появилась гипотеза, что доступ есть у тех пользователей, которые были в группе давно, и доступа нет у вновь добавленных пользователей. Это помогло найти рекомендации по уменьшению времени жизни claim based дескриптора безопасности. Именно claim based, потому что в Sharepoint Server 2. Но после нарезания нескольких «кругов» и поиска корня проблемы в других местах (репликация профилей и групп из AD, обновление SID пользователя с помощью stsadm –o migrateuser –oldlogin DOMAIN\user –newlogin DOMAIN\user –ignoresidhistory), пришлось вернуться на эту дорогу снова. И тут обнаружился ещё один параметр связанный с временем жизни дескриптора безопасности, только на этот раз дескриптора безопасности не claim based, а самого Windows: оказывается Sharepoint кэширует эти дескрипторы, включая членство в группах.

Этот параметр настраивается для фермы Sharepoint с помощью утилиты spsadm. Starlight 8 Класс Решебник. Для теста выставляем свойство в 5 минут.

Перезапуск IIS на всех серверах. После этого тестовый пользователь получил доступ – проблема была решена. Осталось только выставить более подходящие значения времени кэширования (например, один час), чтобы не создавать лишнюю нагрузку на домен- контроллеры. Полезные ссылки: Share. Point 2. 01. 3 Claim Expiration and AD Sync.

Понравилось это: Нравится. Загрузка.. Похожее. Filed under: Active Directory, Sharepoint, Windows.