Управление синхронизацией групп безопасности с Active Directory в Project Server

Сводка: Группы безопасности Project Server можно настроить в Project Web App для синхронизации с группами безопасности или рассылки в Active Directory.
Область применения: Project Server по подписке, Project Server 2019, Project Server 2016, Project Server 2013

Примечание.

Чтобы настроить синхронизацию Active Directory с Project Web App группами безопасности, экземпляр Project Server должен находиться в режиме разрешений Project Server. Эти параметры недоступны в режиме разрешений SharePoint. Дополнительные сведения о режиме разрешений Project Server см. в разделе Планирование доступа пользователей в Project Server.

Синхронизация групп безопасности Project Server управляет членством в группах безопасности Project Server, автоматически добавляя и удаляя пользователей из указанных групп безопасности Project Server на основе членства в группах в службе каталогов Active Directory. Каждая группа безопасности сервера Project Server может быть сопоставлена с отдельной группой Active Directory. Кроме того, группа Active Directory может содержать вложенные группы, для участников которых также выполняется синхронизация.

В процессе синхронизации групп безопасности сервера Project Server могут выполняться следующие действия.

  • На основании учетной записи Active Directory можно создать новую учетную запись пользователя сервера Project Server.

  • Из группы безопасности сервера Project Server можно удалить существующего пользователя сервера Project Server.

  • В группу безопасности сервера Project Server можно добавить существующего пользователя сервера Project Server.

  • Могут быть обновлены метаданные учетной записи пользователя сервера Project Server (имя, адрес электронной почты и т. д.), если они были изменены в Active Directory.

Перед выполнением указанной процедуры проверьте соответствие следующим условиям:

  • Для учетной записи, с помощью которой вы обращаетесь к Project Server через Project Web App (PWA), включены глобальные разрешения Управление параметрами Active Directory и Управление пользователями и группами.

  • Учетная запись службы приложения-службы для экземпляра Project Server имеет доступ на чтение ко всем группам Active Directory и учетным записям пользователей, участвующим в синхронизации. Эту учетную запись можно проверить на странице Приложение службы на веб-сайте Центра администрирования SharePoint.

Сценарии синхронизации групп безопасности

Далее представлены возможные сценарии и соответствующие действия, которые используются при синхронизации групп безопасности.

Сценарий Действие
Пользователь существует в Active Directory и является членом группы Active Directory, сопоставленной с текущей группой безопасности сервера Project Server. Пользователь не существует на сервере Project Server.
На сервере Project Server создается новая соответствующая учетная запись пользователя, и ей предоставляется участие в текущей группе безопасности сервера Project Server.
Пользователь не входит в группу Active Directory, сопоставленную с текущей группой безопасности сервера Project Server. Пользователь также существует на сервере Project Server и входит в текущую группу безопасности сервера Project Server.
Существующий пользователь сервера Project Server удаляется из текущей группы безопасности сервера Project Server.
Пользователь существует в Active Directory и является членом группы Active Directory, сопоставленной с текущей группой безопасности сервера Project Server. Пользователь также существует в Project Server, но не входит в текущую группу безопасности сервера Project Server.
Существующему пользователю сервера Project Server предоставляется участие в текущей группе безопасности сервера Project Server.
Пользователь существует в Active Directory и является членом группы Active Directory, сопоставленной с текущей группой безопасности сервера Project Server. Пользователь также существует на сервере Project Server и входит в текущую группу безопасности сервера Project Server. Сведения о пользователе обновлены в Active Directory.
Соответствующие сведения о пользователе сервера Project Server обновляются (если возможно).
Пользователь существует в Active Directory и является членом группы Active Directory, сопоставленной с текущей группой безопасности сервера Project Server. Пользователь также существует на сервере Project Server, но его учетная запись неактивна.
Если на сервере Project Server выбран параметр Автоматическая активация неактивных пользователей, обнаруженных в Active Directory во время синхронизации, учетная запись активируется и добавляется к текущей группе безопасности сервера Project Server. Если параметр не выбран, учетная запись на сервере Project Server остается неактивной.

Настройка синхронизации групп безопасности с группами Active Directory

Project Web App синхронизация групп безопасности с группами Active Directory выполняется на странице Управление группами в параметрах сервера Project Web App.

Настройка синхронизации групп безопасности

  1. На странице параметры сервера Project Web App в разделе Безопасность щелкните Управление группами.

  2. На странице "Управление группами" в столбце Имя группы выберите имя группы безопасности, которую необходимо синхронизировать.

  3. На странице Добавление или изменение выбранной группы в разделе Группа Active Directory введите имя или учетную запись SAM группы Active Directory, с которой вы хотите синхронизироваться с этой группой PWA. По мере ввода имени группы в результатах будут отображаться группы Active Directory с данной текстовой строкой. Выберите группу Active Directory, которую нужно синхронизировать, из результатов.

    Чтобы выбрать группу из удаленного леса, введите полное доменное имя группы (например, group@corp.contoso.com).

    Примечание.

    Можно синхронизировать с группой безопасности или рассылки любой области (локальной, глобальной или универсальной).

  4. Нажмите кнопку Сохранить, чтобы сохранить параметры.

  5. На странице Управление группами щелкните Параметры синхронизации групп Active Directory.

  6. В диалоговом окне "Синхронизация групп безопасности Project Web App с Active Directory" можно включить неактивные учетные записи пользователей для повторной активации, если они будут обнаружены в группе Active Directory во время синхронизации. Для этого выберите Автоматически повторно активировать текущих неактивных пользователей, если они находятся в Active Directory во время синхронизации. Например, если вы включили этот параметр, это обеспечит повторную активацию учетной записи сотрудника.

  7. Для сохранения параметров нажмите кнопку Сохранить. Нажмите кнопку Сохранить и синхронизировать сейчас , чтобы немедленно синхронизировать группы безопасности Project Server. В разделе Состояние описывается время последней синхронизации групп Project Web App с Active Directory.

    Примечание.

    При нажатии кнопки Сохранить и синхронизировать сейчас все группы безопасности синхронизируются с настроенными группами Active Directory. Не выбирайте отдельные группы безопасности на странице управлениями группами перед тем, как нажать Параметры синхронизации групп Active Directory, так как это не повлияет на то, какие группы будут синхронизированы.

На странице "Управление группами" можно просмотреть, какие группы безопасности PWA синхронизируются с группами Active Directory, а также увидеть время последней синхронизации каждой группы безопасности.

  • В столбце "Группа Active Directory" показано, какие группы Active Directory настроены для синхронизации с группами безопасности PWA.

  • В столбце "Последняя синхронизация" показано время последней успешной синхронизации для каждой группы.

Планирование синхронизации Active Directory с группами безопасности PWA

Частоту синхронизации Active Directory с группами безопасности PWA можно запланировать с помощью параметров конфигурации задания таймера группы безопасности Project Server: Синхронизация AD с группами безопасности в центре администрирования. Можно выбрать определенный период в минутах, днях, неделях или месяцах. В следующей процедуре показано, как получить доступ к Project Server: Синхронизация AD с параметрами конфигурации задания таймера групп безопасности в центре администрирования, а также описаны доступные параметры планирования.

Планирование синхронизации Active Directory с группами безопасности PWA

  1. В Центр администрирования щелкните Мониторинг.

  2. На странице "Мониторинг" в разделе Задание таймера выберите Просмотр определений заданий.

  3. На странице Определения заданий найдите и щелкните Project Server: Синхронизация AD с группами безопасности для PWAIntanceName.

    Например: Project Server: синхронизация AD с группами безопасности для https://contoso/pwa.

  4. На странице "Изменение задания таймера" в разделе Регулярное расписание можно настроить регулярное выполнение синхронизации. В разделе Запланированное время выполнения этого задания таймера можно выбрать один из следующих параметров в зависимости от требований вашей организации:

    • Минуты: позволяет указать частоту, с которой будет выполняться задание — каждые x минут.

    • Ежечасно. Позволяет указать интервал, в течение которого задание будет выполняться случайным образом. Начиная с каждого часа между x минутами после часа и не позже y минут после часа.

    • Ежедневно: позволяет указать интервал, в течение которого задание будет выполняться случайным образом. Начиная с каждого дня между x и не позднее y времени суток.

    • Еженедельно. Позволяет указать, в каком задании будет выполняться случайным образом. Начиная с каждой недели между x днями недели и x временем суток и не позже y дня недели и времени суток.

    • Ежемесячно: предоставляет два варианта.

    • Позволяет указать интервал, в течение которого задание будет выполняться случайным образом . По дате: начиная с каждого месяца между x и x дня месяца и не позднее y времени суток и y дня месяца.

    • Позволяет указать точное время месяца, в котором будет выполняться задание таймера. По дням: начиная с каждого месяца x времени суток, y дня недели и z недели месяца. Например, 12:00 в первое воскресенье.

  5. Для сохранения изменений конфигурации нажмите кнопку ОК.

    Примечание.

    Для немедленного запуска задания таймера щелкните Выполнить.

Обратите внимание, что несколько параметров предоставляют период для запуска задания вместо точного времени или частоты. При выборе параметра, указывающего период, служба таймера может выбрать случайное время среди указанных параметров для запуска задания на каждом сервере приложений. Использование параметра с периодом выполнения подходит для заданий с высокой нагрузкой, которые выполняются на нескольких серверах в ферме. Запуск подобных заданий на всех серверах одновременно может оказаться необдуманной нагрузкой на ферму.

Различные факторы могут помочь определить частоту, с которой нужно выполнить задание таймера Project Server: синхронизация AD с группами безопасности. Вы можете запускать это задание чаще, если в вашей среде пользователи часто перемещаются в различные группы или ваша компания часто нанимает или увольняет сотрудников. Вы также можете выбрать более частое выполнение задания, если пользователи Project Server работают с конфиденциальными данными.

См. также

Как управлять синхронизацией пула ресурсов Active Directory в Project Server 2013

Управление группами безопасности в Project Server

Рекомендации по настройке групп Active Directory для синхронизации с пулом корпоративных ресурсов в Project Server 2013