我公司有数千名员工,他们通过 Active Directory 进行全面组织。我对用户个人资料中显示的部门和职称信息的准确性充满信心。
我正在帮助建立一个全新的 SharePoint 2007 网站,我联系了 IT 部门,希望通过 AD 组管理网站的权限。目标是让网站根据 AD 中的信息自动分配读/写/贡献/任何权限。
例如,我们可以创建一个名为“经理”的 AD 组,其中包含 AD 用户配置文件中具有“经理”头衔的任何人。如果我知道所有经理都需要一定级别的访问权限(读/写/贡献/等等),我会让 SharePoint 利用此 AD 组来批量分配权限。然后,如果经理加入或离开公司,该组会自动更新(当然,前提是 AD 已更新)。
我的 IT 代表回电说这无法完成。这似乎是一个非常简单的业务需求,也是拥有 Active Directory 的巨大优势之一,但也许我错了。
有人可以解释一下这个问题吗?
A) 通过 SharePoint 分配权限时是否可以使用动态更新的 AD 组?(有人知道我可以向有疑虑的 IT 代表展示的指南吗?)
B) 有没有“最佳实践”方法可以解决此问题?我读过一些关于 SharePoint 组或 AD 组是否可行的争论。我主要关心的是动态更新。
C) 如果这个功能不能开箱即用,有人可以推荐可以提供我所需功能的第三方软件吗?
非常感谢所有能帮助我的人!!
答案1
如果您在 SharePoint 中将“管理员”AD 组设置为特定权限,则该权限级别将适用于该组中的所有用户。添加到 AD 组的任何管理员都将几乎立即传播到相关权限。其中的问题在于您希望根据 AD 中的数据而不是组本身的数据来分离权限。
AD 组是最好的选择。它们可以轻松更新,易于在 AD 中跟踪,而且 SharePoint 不必跟踪所有用户。只需将 AD 组分配给网站集、网站、列表、文件夹或文档的权限级别即可。
答案2
目前无法在 Active Directory 中创建此类“搜索组”。
话虽如此,你可以通过足够的脚本和批处理来模拟它。它不会是实时的,但它会让你达到实时的效果。我们正在使用类似的流程来根据员工代码(E1、E5 之类的)创建组。它从我们的人事系统中获取导出数据,并根据这些导出数据修改组。它每天运行一次。
更新:
您可以使用 WinXP 及更高版本上提供的工具来完成一个相当简单的版本:
dsquery * -filter(&(objectClass=User)(department=Facilities))-Limit 5000 | dsmod group“CN=grp.departments.Facilities,OU=DepGroups,DC=Your,DC=Domain,DC=Here”-addmbr
这将查询 DS 中所有部门设置为“设施”的用户对象(部分dsquery *),并将其导入命令,该命令将使用查询返回的信息(部分dsmod group)修改“grp.departments.facilities”的成员资格。您必须为每个部门制作一个版本,但这将满足您的要求。