Gerenciando permissões do SharePoint via Active Directory?

2

Minha empresa tem milhares de funcionários organizados por meio do Active Directory. Tenho confiança na exatidão das informações de Departamento e Título exibidas nos perfis de usuário.

Estou ajudando a criar um novo site do SharePoint 2007 e entrei em contato com a TI sobre como gerenciar as permissões do site por meio de grupos do AD. O objetivo é que o site atribua automaticamente permissões de leitura / gravação / contribuição / o que for baseado nas informações no AD.

Por exemplo, podemos criar um grupo do AD chamado "Gerentes" que conteria qualquer pessoa com o título "Gerente" em seu perfil de usuário do AD. Eu faria o SharePoint entrar nesse Grupo AD para atribuir permissões em massa se eu soubesse que todos os gerentes precisariam de um certo nível de acesso (leitura / gravação / contribuição / o que fosse). Então, se um gerente se juntar à empresa ou sair, o grupo será atualizado automaticamente (desde que o AD seja atualizado, é claro).

Meu representante de TI ligou de volta e disse que não poderia ser feito. Isso parece ser um requisito comercial bastante simples e um dos grandes benefícios de ter o Active Directory, mas talvez eu esteja enganado.

Alguém poderia lançar alguma luz sobre isso?

A) É possível usar grupos de anúncios atualizados dinamicamente ao atribuir permissões via SharePoint? (Alguém sabe de um guia que eu poderia mostrar meu duvidoso representante de TI?)

B) Existe uma maneira de "melhor prática" de fazer isso? Eu li algum debate sobre se o SharePoint Groups ou AD Groups são o caminho a percorrer. Minha principal preocupação é a atualização dinâmica.

C) Se isso não estiver disponível, alguém pode recomendar softwares de terceiros que fornecerão a funcionalidade que estou procurando?

Um grande obrigado a qualquer um que possa me ajudar !!

    
por rgmatthes 31.01.2011 / 23:37

2 respostas

1

Se você tiver um grupo de ADs "Manager" configurado como uma permissão específica no SharePoint, esse nível de permissão será preenchido para todos os usuários desse grupo. Todos os gerentes que forem adicionados ao Grupo AD serão propagados para as permissões associadas com eficácia quase que imediatamente. O problema é que você gostaria de separar as permissões com base em dados do AD que não sejam do próprio grupo.

Grupos de anúncios são o melhor caminho a percorrer. Eles podem ser facilmente atualizados, fáceis de rastrear no AD, e o SharePoint não precisa rastrear todos os usuários. Basta atribuir o grupo AD ao nível de permissão do conjunto de sites, site, lista, pasta ou documento.

    
por 02.02.2011 / 07:02
0

Esses "grupos de pesquisa" não podem ser criados no Active Directory no momento.

Dito isso, você pode fingir com scripts e processamento em lote suficientes. Não será em tempo real, mas vai levar você até lá. Estamos usando um processo semelhante para criar grupos com base no código do empregado (E1, E5, esse tipo de coisa). Leva as exportações do nosso sistema de pessoal e modifica os grupos com base nessas exportações. Corre uma vez por dia.

Atualização:

Você pode fazer uma versão bastante simples disso com as ferramentas disponíveis no WinXP e superiores:

dsquery * -filter (& (objectClass = User) (departamento = Instalações)) -Limit 5000 | grupo dsmod "CN = grp.departments.Facilities, OU = DepGroups, DC = Seu, DC = Domínio, DC = Aqui" -addmbr

Isso consultará o DS para todos os objetos de usuário com departamento definido como "Instalações" (o dsquery * parte) e o enviará para um comando que modificará a associação de "grp.departments.facilities" com as informações retornadas por a consulta (a parte dsmod group ). Você terá que fazer uma versão disso para cada departamento, mas isso fará o que você está procurando.

    
por 01.02.2011 / 00:12