A sincronização de usuário do perfil do SharePoint 2010 falha na exportação de objetos administrativos

2

Nossa situação atual:

  • nosso farm contém dois DCs, um SP 2010 e um EX 2010 server
  • o SharePoint está funcionando bem
  • o serviço de Sincronização de Perfis de Usuário está ativo e em execução, as importações do AD são bem feitas

O que gostaríamos de fazer:

  • exporte user-object-data para o AD (por exemplo, thumbnailPhoto)

O que fizemos:

  • adicionamos todos os requisitos de permissão à conta de usuário do sistema de sincronização (escrever objetos, criar objetos, replicar diretório e acesso pré-win2000)

O que acontece:

A exportação de objetos falha nas contas de administrador. Uma investigação com o "Gerenciador de Serviço de Sincronização no SP" (miisclient.exe) mostra um "completed-export-err" durante o "DS_EXPORT". Uma escavação nos diz "Erro: problema de permissão", as permissões não são suficientes.

O que precisamos fazer para definir as permissões de AD da conta de sincronização para poder escrever atributos de nossas contas de usuário administrativas?

    
por florianb 20.06.2012 / 01:21

1 resposta

0

Por enquanto, decidimos resolver o "problema" com uma solução alternativa, adicionando contas de usuário extras para cada administrador.

Por que estamos fazendo isso? No começo, gostaria de saber que tenho dificuldade em adicionar permissões administrativas extras à conta do serviço de exportação. Parece ser uma má ideia conceder a essa conta um poder tão grande sobre o diretório ativo, até mesmo manipular as contas de administrador em geral. Outra maneira poderia ter sido ajustar as "bandeiras administrativas" que parecem proibir mudanças em objetos administrativos em geral (a menos que um administrador seja o manipulador). Acho que isso também é uma má ideia, já que isso concederia ao serviço o poder total das contas de administrador também e poderíamos afetar serviços adicionais, que dependem desses sinalizadores para a funcionalidade adequada.

Desde que tomamos essa decisão agora, temos que migrar o status do farm para a situação "nova". Isso não é tão trivial, é por isso que eu gostaria de compartilhar nosso fluxo de trabalho atual, para o caso alguém tem que fazer o mesmo:

Criando contas de usuário adicionais para um administrador em um farm do SharePoint / Exchange (se você estava trabalhando com contas administrativas anteriores)

Esta solução visa transferir o nome de usuário do administrador para um novo e normal objeto de usuário.

  1. Adicione regras de filtro à sua conexão de sincronização de perfil de usuário (desculpe - traduzido do alemão), que evita a sincronização das "novas" contas de administrador. Parece ser uma boa idéia confiar neste conjunto de regras no atributo adminCount sendo maior ou similar a 1.
  2. Renomeie a conta de administrador e o nome de login para um "novo" esquema de nomeação para administradores.
  3. Crie um novo objeto de usuário seguindo o esquema de nomenclatura preferido para usuários.
  4. Desconecte a caixa de correio de troca do administrador. Tenha cuidado para não excluir a conta AD pertencente incidencialmente removendo a caixa de correio!
  5. Crie uma nova caixa de correio de troca para o novo usuário (aconselho fazer isso somente se a caixa de correio não estava em uso antes). Como alternativa, você pode tentar reconectar a caixa de correio administrativa ao novo usuário. Que não funcionou na nossa instalação até agora.
  6. Verifique o status de sincronização correto do perfil específico dentro do serviço de sincronização de perfil de usuário, você provavelmente terá que excluir o perfil de usuário "antigo" do administrador, para permitir que o serviço de perfil se reconecte corretamente ao novo usuário.
  7. Não se esqueça de garantir os níveis de autorização corretos nos sites do SharePoint.
por 21.06.2012 / 14:58