我刚刚在虚拟服务器上完成了 SharePoint 站点的开发,目前正在向不同域的用户授予站点访问权限。我是开发人员,并不是网络管理员。虚拟服务器不是域控制器,也没有安装 Active Directory。SharePoint 域是 SHAREPOINT,而我想要授予访问权限的用户所在的域是 COMPANY。它们通过 LAN 连接。我为他们提供了站点链接,并通过 SharePoint 和 SQL Server 将他们添加为用户,我认为我只需要做这些。但是,当他们访问该链接时,站点会向他们显示 SharePoint 错误页面,告知他们访问被拒绝。问题出在 SharePoint 的自定义 Web 部件上。如果我从索引页中删除该 Web 部件,他们就可以正常访问它。
在安全事件日志中,显示以下内容:
Event Type: Failure Audit
Event Source: Security
Event Category: Object Access
Event ID: 560
Date: 3/18/2010
Time: 11:11:49 AM
User: COMPANY\ThisUser
Computer: SHAREPOINT
Description:
Object Open:
Object Server: Security Account Manager
Object Type: SAM_ALIAS
Object Name: DOMAINS\Account\Aliases\00000404
Handle ID: -
Operation ID: {0,1719489}
Process ID: 416
Image File Name: C:\WINDOWS\system32\lsass.exe
Primary User Name: SHAREPOINT$
Primary Domain: COMPANY
Primary Logon ID: (0x0,0x3E7)
Client User Name: ThisUser
Client Domain: PRINTRON
Client Logon ID: (0x0,0x1A3BC2)
Accesses: AddMember
RemoveMember
ListMembers
ReadInformation
Privileges: -
Restricted Sid Count: 0
Access Mask: 0xF
然后,连续出现四个这样的情况:
Event Type: Failure Audit
Event Source: Security
Event Category: Object Access
Event ID: 560
Date: 3/18/2010
Time: 11:12:08 AM
User: NT AUTHORITY\NETWORK SERVICE
Computer: SHAREPOINT
Description:
Object Open:
Object Server: SC Manager
Object Type: SERVICE OBJECT
Object Name: WinHttpAutoProxySvc
Handle ID: -
Operation ID: {0,1727132}
Process ID: 404
Image File Name: C:\WINDOWS\system32\services.exe
Primary User Name: SHAREPOINT$
Primary Domain: COMPANY
Primary Logon ID: (0x0,0x3E7)
Client User Name: NETWORK SERVICE
Client Domain: NT AUTHORITY
Client Logon ID: (0x0,0x3E4)
Accesses: Query status of service
Start the service
Query information from service
Privileges: -
Restricted Sid Count: 0
Access Mask: 0x94
您知道我需要授予用户什么权限才能让他们访问 SharePoint 吗?
我确实有一个来自其他域的用户能够正常查看该页面。对于这个用户,我授予他权限 有什么方法可以比较该用户与其他用户,看看可能需要添加哪些权限?
答案1
我还认为域信任对于您的任务来说是个好主意。我有成功的经验:就我而言,每个域都有自己的基于 MOSS 2007 的内联网门户。有必要为来自两个域的用户提供对两个门户的访问权限。我们在林之间建立了双向信任关系并授予所有必要的权限。我的环境是标准的:AD、2003、MOSS 2007。
我认为还有另外两种方法。可能它们更适合你:
- 如果您的两个域都在一个安全的 LAN 网络中,则您可以允许匿名访问您的门户。
- 您可以在您的域中为来自外部域的用户创建帐户。在这种情况下,来自外部域的用户将需要使用基于表单的身份验证(而不是 Windows 身份验证)
您可以混合使用这两种方法。假设您可以授予所有人匿名读取权限,并在您的域中为需要内部网门户贡献者权限的用户创建一些帐户。
答案2
您需要在域之间建立信任关系(我假设它们不在同一棵树/林中)。
为了让 Sharepoint 向来自不同域的用户授予权限,它需要信任该域的身份验证。
如果它们不在同一个林中,则在 Active Directory 域和信任中在它们之间建立外部信任 (SHAREPOINT 信任 COMPANY)。
答案3
除了上面提到的选择之外,您还有其他一些选择。
- 将您的 Web 应用程序扩展到新区域(外部网区域)并使用针对 COMPANY 域的基于表单的身份验证来授予这些用户访问权限。
- 在 SharePoint 前面实现 ISA 服务器(或其他产品...)作为反向代理来执行身份验证 - 这应该允许两个域使用 Windows 身份验证。
以下是一篇讨论第一个选项的精彩博客文章:
http://blogs.msdn.com/sharepoint/archive/2006/08/16/configuring-multiple-authentication-providers-for-sharepoint-2007.aspx
答案4
好的。最后,我找到了一篇文章,它立刻帮助了我……
Went to "Virtual Network Editor" from my host computer (found under VMWare menu)
Change the IP address for the NAT subnet ip to 192.168.10.0
Followed the article above for more on NAT settings
宾果...我现在可以从我的主机上访问 portal.spplay.com。