跨多级林解析帐户 (SharePoint Server 2010)
适用于: SharePoint Server 2010
上一次修改主题: 2016-11-30
Microsoft SharePoint Server 2010 可以部署在 Active Directory 域服务的各种配置中(包括单级林和多级林环境)。
在规划跨多级林部署 SharePoint Server 2010 时,有两种基本配置供您选择:
资源林部署此部署具有两个或多个使用单个登录林配置的林,该登录林包含的用户帐户是包含文件和应用程序服务器的一个或多个资源域的信任帐户。
多登录林部署此部署具有两个或多个林,其中包含的用户帐户可通过双向信任来访问资源。
备注
林之间必须至少存在单向信任,才能使本文中描述的过程正常工作。
有关如何跨多个林解析帐户的详细信息以及显示各林之间关系的图示,请参阅 Microsoft SharePoint 团队博客(该链接可能指向英文页面) (https://go.microsoft.com/fwlink/?linkid=186152&clcid=0x804)(该链接可能指向英文页面)。
资源林部署
如果所有用户帐户都存在于一个或多个顶级林中,那么就存在资源林配置。所有用户都使用来自这些林的凭据进行登录。资源服务器(如 Microsoft Exchange Server 和 SharePoint Server 2010)安装在单独的资源林中,该资源林维护对每个帐户林的单向信任。资源林中包含每个访问资源林的用户的阴影非登录帐户,该林包含基于用户帐户 ms-ds-Source-Object 属性的用户相关元数据。
在此类部署中,SharePoint Server 2010 从资源林目录的容器中提取 Active Directory 信息,并依据此信息创建用户配置文件和“我的网站”网站。
多登录林部署
在多登录林部署中,用户帐户分布在两个或两个以上林中。所有林之间通常存在双向信任。形成该方案通常是因为组织合并后决定仍保持现有林并为用户提供对每个林中资源的访问。由于许多现有应用程序部署在林中,需要依赖林结构,因此有些用户在他们需要访问的每个林中都拥有一个帐户。
在此类部署中,SharePoint Server 2010 部署在其中一个林中,该林与每个存在用户帐户的林都具有目录连接。接下来,您必须使用用户对象中的可分辨名称 (ms-ds-Source-Object-DN
) 属性来创建用户帐户之间的关联。这种关联存在于属于同一用户的多个帐户之间,其中一个帐户被认为是主要帐户,所有其他帐户都被认为是主要帐户的备用帐户。您可以使用 Microsoft Forefront Identity Manager 在用户帐户对象之间创建这种关联。
下表中列出了各项功能的预期用户体验:
功能 | 用户体验 |
---|---|
配置文件页和对象模型 |
SharePoint Server 2010 维护备用帐户列表以作为识别配置文件的依据。当您使用任一帐户查找用户的配置文件时,SharePoint Server 2010 会返回主要帐户配置文件。 |
我的网站 |
当您创建“我的网站”网站时,SharePoint Server 2010 会使用用户的主要帐户来创建网站。您的所有备用帐户都会作为管理员自动添加到该网站中。 |
人员搜索 |
人员搜索返回用户的主要帐户信息。 |
访问群体 |
SharePoint Server 2010 中的访问群体只使用主要帐户。包含用户备用帐户的所有规则都会在内部使用该用户的主要帐户。因为主要帐户和备用帐户是协调一致的,所以两者的管理层次结构一样。 |
从业务数据目录导入 |
因为 SharePoint Server 2010 依赖于每个用户的主要帐户信息,所以只会导入主要帐户能够识别的数据。在业务数据目录中创建用户列表时,使用每个用户的主要帐户。 |
成员资格同步 |
对于用户的主要帐户和备用帐户所属的网站,SharePoint Server 2010 将这些网站视为全部属于同一个用户帐户。为了生成更精确的网站成员资格列表,SharePoint Server 2010 必须使用与“SELECT docs FROM member site WHERE author = domain1\user OR author = domain2\user”相同的查询来生成一个列表,以包含用户的任何一个用户帐户所属的网站的列表。 |
配置文件同步 |
对用户配置文件进行的任何更改都会被复制到与该用户关联的所有用户帐户。这样可以确保将更改(如将图片添加至“我的网站”中的配置文件)同步到所有 SharePoint Server 2010 网站,而不必考虑用户使用的帐户登录。 |
准备前端 Web 服务器
在使用应用程序池帐户搜索用户和组时,人员选取器会对所有双向信任域自动发出查询。当您在人员选取器中选择备用帐户时,将返回主要帐户信息。
对于单向信任,必须提供以下信息:
具有林查询权限的登录凭据
人员选取器执行查询时将使用的加密密钥
请使用以下过程为 SharePoint Server 2010 前端 Web 服务器准备加密密钥,以便使用此帐户。
备注
此任务的过程需要使用 Stsadm 命令行工具。此版本已弃用 Stsadm 命令行工具,但仍包含该工具以支持与早期产品版本的兼容性。
准备前端 Web 服务器
单击“开始”,右键单击“命令提示符”,然后单击“以管理员身份运行”。
键入以下命令:
stsadm.exe -o setapppassword -password <key>
其中,<key> 是为 Web 应用程序设置的加密密钥。
注册跨林凭据
SharePoint Server 2010 可以跟踪来自多个林的用户帐户之间的关联,以便提供无缝的用户体验。您可以使用 stsadm 命令行工具来建立这种帐户关联,具体过程如下所示:
若要执行以下步骤,您必须是运行 SharePoint Server 2010 的服务器中 Farm Administrators 组的成员。
注册跨林凭据
单击“开始”,右键单击“命令提示符”,然后单击“以管理员身份运行”。
键入以下命令:
stsadm.exe -o setproperty -url <http://server:port> -pn "peoplepicker-searchadforests" -pv "<forest:contoso.com;domain:corp.contoso.com>", <LoginName>,<Password>, <Key>
其中:
<http://server:port> 是指向您将授权访问的 Web 应用程序的 URL。
<forest:contoso.com;domain:corp.contoso.com> 是用于搜索用户帐户的林和域的限定名称。
<LoginName> 是用户的帐户名称。
<Password> 是用户密码。
<key> 是为 Web 应用程序设置的加密密钥。