我们的现状:
- 我们的服务器场包含两个 DC,一个 SP 2010 服务器和一个 EX 2010 服务器
- SharePoint 运行良好
- 用户配置文件同步服务已启动并运行,AD 导入已顺利完成
我们想做的事情:
- 将用户对象数据导出到 AD (fe 缩略图照片)
我们所做的:
- 我们将所有权限要求添加到同步系统用户帐户(写入对象、创建对象、复制目录和 pre-win2000 访问)
会发生什么:
管理员帐户上的对象导出失败。使用“SP 上的同步服务管理器”(miisclient.exe) 进行调查显示“DS_EXPORT”期间出现“已完成导出错误”。深入研究后我们发现“错误:权限问题”,权限不足。
我们需要做什么来设置同步帐户的 AD 权限,以便能够写入我们的管理用户帐户的属性?
答案1
目前,我们决定采用一种变通方法来解决该“问题”,即为每个管理员添加额外的用户帐户。
我们为什么要这么做?首先,我想指出的是,我为导出服务帐户添加额外的管理权限时遇到了一些麻烦。授予此帐户对活动目录的如此大权力,甚至操纵管理员帐户,似乎不是一个好主意。另一种方法可能是调整“管理标志”,这似乎禁止对管理对象进行一般更改(除非管理员是操纵者)。我想这也是一个坏主意,因为这也会将服务的全部权力授予管理员帐户,我们可能会影响依赖这些标志才能正常运行的其他服务。
由于我们做出了这个决定,现在我们必须将农场状态迁移到“新”情况。这不是那么简单,这就是为什么我想分享我们当前的工作流程,以防有人必须做同样的事情:
在 SharePoint/Exchange-Farm 中为管理员创建其他用户帐户(如果您之前使用过管理帐户)
该解决方案旨在将管理员用户名转移到新的普通用户对象。
- 将过滤规则添加到您的用户配置文件同步连接(抱歉 - 翻译自德语),以避免同步“新”管理员帐户。依赖此规则集的属性
adminCount大于或接近 1 似乎是个好主意。 - 将管理员帐户和登录名重命名为管理员的“新”命名方案。
- 按照用户首选的命名方案创建一个新的用户对象。
- 断开管理员的 Exchange 邮箱。注意不是删除邮箱的同时,顺便删除所属的AD帐户!
- 为新用户创建一个新的 Exchange 邮箱(我建议仅在邮箱之前未使用时才这样做)。或者,您可以尝试将管理员邮箱重新连接到新用户。到目前为止,这在我们的安装中不起作用。
- 检查用户配置文件同步服务中特定配置文件的正确同步状态,您可能必须删除管理员的“旧”用户配置文件,以便让配置文件服务正确地重新连接到新用户。
- 不要忘记确保 SharePoint 网站中的授权级别正确。