• 项目

在 Project Server 2010 中管理安全组与 Active Directory 的同步

 

适用于: Project Server 2010

上一次修改主题: 2015-03-09

Microsoft Project Server 2010 安全组同步根据 Active Directory 目录服务中的组成员资格,在指定的 Project Server 安全组中自动添加和移除用户,从而控制 Project Server 安全组成员资格。每个 Project Server 安全组可映射到单个 Active Directory 组。不过,此 Active Directory 组可包含还将同步其成员的嵌套组。

在 Project Server 安全组同步过程中,可能发生以下操作:

  • 基于 Active Directory 帐户创建新的 Project Server 用户帐户。

  • 从 Project Server 安全组移除现有的 Project Server 用户。

  • 将现有的 Project Server 用户添加到 Project Server 安全组中。

  • 如果在 Active Directory 中更改了现有 Project Server 用户帐户的元数据(姓名、电子邮件地址等等),则更新它。

  • 重新激活以前的非活动 Project Server 用户帐户。

在执行此过程之前,请确认以下内容:

  • 您通过 Project Web Access (PWA) 访问 Project Server 所用的帐户同时启用了“管理 Active Directory 设置”和“管理用户和组”全局权限。

  • Project Server 实例的服务应用程序服务帐户对同步中涉及的所有 Active Directory 组和用户帐户具有读取权限。您可以在 SharePoint 管理中心网站的“服务应用程序”页上验证此帐户。

安全组同步应用方案

以下是可能的方案和在执行安全组同步时发生的相应操作:

方案 操作

用户存在于 Active Directory 中,并且是映射到当前 Project Server 安全组的 Active Directory 组的成员。该用户不存在于 Project Server 中。

在 Project Server 中创建新的相应用户帐户并授予其当前 Project Server 安全组的成员资格。

用户不是映射到当前 Project Server 安全组的 Active Directory 组的成员。该用户也存在于 Project Server 中,并且是当前 Project Server 安全组的成员。

将现有 Project Server 用户作为当前 Project Server 安全组的成员移除。

用户存在于 Active Directory 中,并且是映射到当前 Project Server 安全组的 Active Directory 组的成员。该用户也存在于 Project Server 中,但不是当前 Project Server 安全组的成员。

为现有 Project Server 用户提供当前 Project Server 安全组的成员资格。

用户存在于 Active Directory 中,并且是映射到当前 Project Server 安全组的 Active Directory 组的成员。该用户也存在于 Project Server 中,并且是当前 Project Server 安全组的成员。Active Directory 中的用户信息已更新。

更新相应的 Project Server 用户信息(如果适用)。

用户存在于 Active Directory 中,并且是映射到当前 Project Server 安全组的 Active Directory 组的成员。该用户也存在于 Project Server 中,但作为非活动帐户存在。

如果在 Project Server 中选择了“同步过程中,如果在 Active Directory 中发现了当前处于非活动状态的用户,则自动重新激活这些用户”选项,则会重新激活该帐户并将其添加到当前 Project Server 安全组中。如果未选择此选项,则该帐户在 Project Server 中保留非活动状态。

配置安全组同步

您可以使用此过程在 Project Server 2010 中配置与 Active Directory 的安全组同步。

配置安全组同步

  1. 在 Project Web App“服务器设置”页上的“安全性”部分,单击“管理组”。

  2. 在“管理组”页上的“组名”列中,单击要同步的安全组的名称。

  3. 在所选组的“添加或编辑组”页上的“组详细信息”部分,为“要同步的 Active Directory 组”单击“查找组”。

  4. 在“在 Active Directory 中查找组”页上的“组名”字段中,输入要与安全组同步的 Active Directory 组的完整或部分名称。单击“组名”字段旁边的按钮来基于搜索条件搜索 Active Directory 林。

    若要从远程林中选择一个组,请键入该组的完全限定域名(例如 group@corp.contoso.com)。您可以同步到任何范围的安全组或通讯组(本地、全局或通用)。

    备注

    所搜索的 Active Directory 林显示在“在 Active Directory 中查找组”页的顶部。该林通过运行 Project Server 实例的服务应用程序的帐户的完全限定域名来定义。

  5. 从“组名”列表中,选择要与其同步 Project Server 安全组的组。单击“确定”。

  6. 在“添加或编辑组”页上,您应看到在“组详细信息”部分的“要同步的 Active Directory 组”旁边选择的 Active Directory 组。单击“保存”。

  7. 在“管理组”页上的“组名”列中,选中您刚配置的要同步的安全组旁边的复选框。然后单击“Active Directory 同步选项”。

  8. 如果希望同步按计划执行,请在“将 Project Server 组与 Active Directory 同步”页上的“日程安排”部分,选择“日程安排同步”。也可以选择手动运行安全组同步。如果您更喜欢使用手动选项,请转到步骤 10。

  9. 在“频率”字段中,定义所需的 Project Server 安全组和 Active Directory 组之间的同步频率。这可以安排为定义的天数、周数或月数。选择开始日期和时间。

  10. 如果在同步过程中,在 Active Directory 组中发现了非活动用户帐户,则可以重新激活这些帐户。为此,请在“选项”部分,选择“同步过程中,如果在 Active Directory 中发现了当前处于非活动状态的用户,则自动重新激活这些用户”。(例如,如果您启用了此选项,则将确保如果重新雇佣了某个员工,将重新激活该员工的用户帐户。)

  11. 单击“保存”来保存设置。如果要立即同步 Project Server 安全组,请单击“保存并立即同步”。如果您决定不安排同步,则可以在必须同步时通过返回到此页并单击“保存并立即同步”来手动重新运行同步。

  12. 您可以通过返回到特定安全组的“将 Project Server 组与 Active Directory 同步”页并查看“状态”部分的信息来查看安全组同步的状态。它包含上次成功同步时间之类的信息。