在 Project Server 2013 中管理 Active Directory 资源库同步
总结: 使用 Project Server 2013 中的 Active Directory 资源池同步设置快速将 Active Directory 用户添加为企业资源。
适用于:Project Server 2013
可以通过“操作策略”部分中的 Project Server 2013 服务器设置页获取 Active Directory 资源池同步设置。 有关相关管理设置的详细信息,请参阅 Project Server 2013 中的操作策略。
本文内容:
将 Project Server 2013 资源与 Active Directory 保持同步是确保资源始终处于最新状态并自动将最新组成员添加到资源列表的好方法。
Project Server 2013 Active Directory 企业资源池同步用于同时创建或更新多个 Project Server 企业资源。 例如,只要部门中的新员工在为同步所选择的 Active Directory 组中,便可以将他们自动添加为 Project Server 企业资源。
企业资源库同步还将使用 Active Directory 中的最新数据来更新企业资源属性。 例如,员工的姓名和电子邮件地址可能会因婚姻而更改。 只要在 Active Directory 中进行更改,并且用户位于链接组中,则在进行同步时,用户的企业资源属性中将会出现更改。
企业资源池最多可映射五个 Active Directory 组进行同步。 这些 Active Directory 组可以包含其成员也同步的嵌套组。
Project Server 2013 的 Active Directory 资源池同步中的更改
请务必注意 Project Server 2013 中的 Active Directory 资源池同步中的以下更改:
不会为通过 Active Directory 同步添加到企业资源池的资源自动创建 Project Server 用户帐户。
最多可以将五个 Active Directory 组与 Project Server 2013 中的企业资源池同步。
用户同步方案
以下是在企业资源池同步过程中发生的两个最常见操作:
可以根据 Active Directory 成员身份创建新的 Project Server 企业资源 通过将新成员添加到用于企业资源池同步的 Active Directory 组,还可以在 Project Server 中自动为此用户创建资源。
现有 Project Server 用户帐户的元数据 (例如名称、电子邮件地址等) 在 Active Directory 中发生更改时可以更新 例如,如果在 Active Directory 中更改了资源的姓氏,Project Server 2013 企业资源池同步可确保在 Project Server 企业资源池中也更改资源名称。
下表介绍了所有 Active Directory 到 Project Server 2013 企业资源池同步方案及其相应的操作:
| 应用场景 | 操作 |
|---|---|
| 用户存在于 Active Directory 中,是映射到企业资源池的 Active Directory 组的成员。 Project Server 中不存在用户 |
将为此用户创建新的 Project Server 资源。 注意 - 不会基于此同步创建 Project Server 用户帐户。 需要将 Active Directory 用户添加到 Project Server 安全组才能创建用户帐户。 有关详细信息,请参阅在 Project Server 2013 中为企业资源池同步配置 Active Directory 组的最佳做法。 |
| 用户存在于 Active Directory 中,是映射到企业资源池的 Active Directory 组的成员。 用户以用户身份存在于 Project Server 中,但不作为资源存在。 |
将为此用户创建新的 Project Server 资源,并将其链接到现有的 Project Server 用户帐户。 |
| 用户存在于 Active Directory 中,是映射到企业资源池的 Active Directory 组的成员。 Project Server 中已存在相应的资源。 |
如果对 Active Directory 中的用户属性进行了任何更新,则会更新相应的 Project Server 企业资源和用户信息。 |
| 用户存在于 Active Directory 中,但已从映射到企业资源池的 Active Directory 组中删除。 |
资源未在企业资源池中停用。 |
| 用户在 Active Directory 中标记为非活动状态。 |
资源不会在企业资源池中停用。 不会根据此同步停用相应的 Project Server 用户。 有关详细信息,请参阅 在 Project Server 中管理与 Active Directory 的安全组同步。 |
企业资源池同步的要求
在执行此过程之前,请确认以下内容:
可以通过 Project Web App 访问 Project Server,该帐户启用了“管理 Active Directory 设置”和“管理用户和组”全局设置。
Project Server 实例的服务应用程序 (SA) 服务帐户对同步中涉及的所有 Active Directory 组和用户帐户具有读取访问权限。
可以在 SharePoint 管理中心网站上的“服务应用程序管理”页上的“服务应用程序”属性中验证此帐户。
队列服务运行所依据的标识需要有权访问应在其中查找用户的所有林和域。
SharePoint 2013 人员 选取器必须能够解析组并访问 Active Directory 中的用户信息,才能使 Project Server 2013 Active Directory ERP 同步正常工作。 使用人员选取器可以搜索要同步到 ERP 的 Active Directory 组。 本文稍后将更详细地介绍 SharePoint 2013 人员选取器。
配置企业资源库同步
在“Project Web App服务器设置”中,访问“Active Directory 企业资源池同步”页,可在其中配置设置。
配置企业资源库同步
在“Project Web App”中,单击“设置”图标,然后单击“Project Web App设置”。
在“Project Web App服务器设置”页上的“操作策略”部分中,单击“Active Directory 资源池同步”。
在“Active Directory 企业资源池同步”页上的“ Active Directory 组 ”部分中,键入要与企业资源池同步的 active Directory 组或组的名称或“服务帐户管理器 (SAM) 帐户”。 如果不确定组名称,可以键入组名称的一部分,以显示 Active Directory 中包含文本字符串的组。 SharePoint 2013 人员选取器提供搜索功能,可显示要查找的 Active Directory 组。 若要从远程林中选择组,请键入组的完全限定域名 (例如 group@corp.contoso.com ,) 。
注意
您可以同步到任何范围(本地、全局或通用)的安全组或通讯组。
如果同步期间在 Active Directory 组中找到非活动帐户,则可以将它们重新激活。 为此,请在 “同步选项”中选择“ 自动重新激活当前处于非活动状态的用户(如果在同步期间在 Active Directory 中找到)。
例如,员工在公司内移动到其他角色,并且其 Project Server 用户帐户在从企业资源池 Active Directory 组中删除 (被停用) 。 用户稍后决定返回其旧作业,并将其添加回企业资源池 Active Directory 组。 如果启用了自动 重新激活当前处于非活动状态的用户(如果在同步期间在 Active Directory 中找到 ),则同步时会自动重新激活该用户的帐户。
注意
要使此选项可用,需要 Project Server 2013 的 2014 年 10 月累积更新。 有关此更新的详细信息,请参阅此 Microsoft 项目支持博客文章。
单击“ 保存 ”以保存设置,并计划在默认设置 (每天凌晨 12:00) 重复同步一次。 如果要立即同步企业资源池,保存设置,并计划在默认设置下重复同步,请单击“ 保存并立即 同步”。
通过返回到“Active Directory 企业资源库同步”页,并查看“同步状态”部分中的信息,可以检查企业资源库同步的状态。 它包含上次成功发生同步的时间等信息。 如果上次同步出于任何原因失败,如果要在 ULS 日志中搜索详细信息,还会发布发生同步的时间戳。
计划企业资源池同步
在 Project Server 2013 中,计划企业资源池与 Active Directory 组的同步是通过管理中心中的“计时器作业状态”页完成的。
计划企业资源池同步
在管理中心网站上,单击“监控”。
在“监视”页上的“计时器作业”部分中,单击“检查作业状态”。
在“计时器作业状态”页上,找到并单击“Project Web App:AD 与 PWA 站点名称>的企业资源池作业<同步”。
例如:Project Web App:AD 与 企业资源池作业同步https://contoso/pwa.
在“编辑计时器作业”页上的“ 定期计划 ”部分中,可以配置何时定期运行同步。 在 “计划运行此计时器作业”下,可以根据公司的要求选择以下选项之一:
分钟数:允许指定运行作业的频率 — 每 x 分钟一次。
每小时:允许指定作业随机运行的间隔 — 从每小时开始一次,间隔在一小时后的 x 分钟到一小时后的 y 分钟内不晚于 y 分钟。
每日:允许指定作业随机运行的间隔 - 每天从一天中的时间开始<,不晚于<一天>>中的时间。
每周:允许指定作业随机运行的时间 - 每周从星期<几开始,>不晚于<星期几和一天>中的时间。
每月:提供两个选项:
允许指定作业随机运行的间隔 - 按日期:从一天中的时间和月中的>某一天开始<,并且不晚于<日期和月>中的日期。
允许指定运行计时器作业的确切月份时间 : 按天:从一天中的每个月 <开始、一周中的某一天和每月的第一周。 例如,“第一个星期日凌晨 12:00”。
单击“确定”以保存所做的配置更改。
注意
您可以随时单击“立即运行”以便立即运行计时器作业。
请注意,多个选项提供运行作业的执行时间,而不是确切的时间或频率。 选择提供执行时间段的选项使计时器服务可在指定参数内选择一个随机时间,以便在每台应用程序服务器上运行作业。 使用具有执行时间段的选项适合在服务器场中的多台服务器上运行的高负载作业。 通过同时在所有服务器上运行此类型的作业可能会使服务器场产生不合理的负载。
将企业资源池与不同域中的 Active Directory 用户同步的要求
假设需要将企业资源池与位于 Project Server 2013 安装域中的 Active Directory 用户同步。 例如,你的组织可能会收购一家新公司,或者你的分支可能需要从组织内其他分支添加用户。 在此方案中,域之间必须存在双向信任关系,以便一个域中的 Active Directory 用户与位于不同域中的 Project Server 2013 安装中的企业资源池同步。
注意
Project Server 2013 不支持将企业资源池或安全组与不同域中只有单向信任关系的不同域的 Active Directory 用户同步。
SharePoint 2013 人员选取器
如本文前面所述,Project Server 2013 仅当人员选取器首先找到此用户时,才能从 Active Directory 同步用户。
人员选取器只能返回以下拓扑中的用户、组和声明:
当前安装 SharePoint Server 2013/Project Server 2013 场的域。
与当前安装 SharePoint Server 2013/Project Server 2013 场的域具有双向信任关系的域。
默认情况下,人员 Picker 仅返回安装 SharePoint Server 2013 的域中的用户、组和声明。 如果希望人员 Picker 返回多个林或域的查询结果,可以在林或域之间创建双向信任。 对于这两种情况,自动人员 Picker 函数,无需进行其他配置。 建立双向信任后,人员选取器会自动返回在受信任域中找到的结果。
例如,Contoso.com 域与 Litware.com 和 Fabrikam.com 具有双向信任。 Project Server 2013 场所在的 Contoso.com 域中定义的 Project Server 2013 ERP 同步配置为包含来自 Fabrikam.com 域) 的 Bob (和来自 Litware.com 域) 的 Mindy (。 人员选取器找到 Bob 和 Mindy 都驻留在其域的 Active Directory 中的两个组,Project Server 2013 ERP 同步将成功同步该组和两个用户。 如果 Contoso.com 域和其他域之间不存在信任或单向信任,则用户将无法同步到 Project Server 2013 ERP。
另请参阅
配置 Active Directory 组以在 Project Server 2013 中执行企业资源池同步的最佳做法
Project Server 2013 企业资源池同步支持的 Active Directory 拓扑
管理 Project Server 中安全组与 Active Directory 的同步