Hallo Zusammen,
hin und wieder tut sich nun doch die ein oder andere Frage auf.Wir evaluieren derzeit Sharepoint als neue Plattform.
Es kam die Frage auf, wie man am besten in Sharepoint mit AD Usern umgeht.Wir haben festgestellt, das man AD Gruppen zu Sharepointgruppen hinzufügen kann.Die Benutzer der AD Gruppe erhalten dann auch Zugriff.
Jedoch scheint es so zu sein, das diese AD Gruppen nicht aufgeschlüsselt werden.Wenn ich prüfen will z.B. innerhalb eines Listenformulars mittels dem Gruppen SOAP Dienst, ob ein User Mitglied einer Gruppe ist, scheint das nur für Sharepoint Gruppen aufgelöst zu werden.Die AD Gruppe wird nicht durchsucht.
Wenn ich Beispielsweise einen True/False zur Mitgliedschaft haben will, erhalte ich bei einer AD Gruppe in einer Sharepointgruppe ein False. Gehe ich aber hin und fülle die Sharepoint Gruppe mit den AD Benutzern auf, dann kriege ich ein True zurück.
Ist das "works as designed" ?
Falls Ja bringt mich das zur nächsten Frage...Ich würde gerne nur mittels AD Berechtigungen vergeben können. Ich dachte also an ein Powershellscript, welches regelmäßig die AD User bestimmter Gruppen ausliest, diese in ein CSV packt und dann mittels Powershell die Sharepoint Gruppen füllt oder ändert.
Wir haben jetzt keine unendlich große Zahl an Benutzern. Aber trotzdem wäre natürlich interessant, ob das als Problem anzusehen ist. So ein Script würde dann als Cron alle X Minuten laufen. Bei steigender Anzahl von Anwendungen werden das schnell immer mehr Jobs.
Da habe ich mich gefragt: Macht man das so? Oder habe ich das Produkt noch nicht völlig durch drungen?
Ich freue mich auf eine Rückmeldung.
LG
Fly
Ich würde auf keinen Fall die Benutzer einzeln in SharePoint-Gruppen packen, sondern nur AD-Gruppen. Wenn man im SP die "Check permissions" Funktion benutzt, wird das normalerweise auch aufgelöst.
Vielen Dank für die Rückmeldung.Warum würdest Du das nicht tun? Persönliche Philosophie, weil es andere Empfehlungen gibt, Erfahrungen?
Freue mich auf Rückmeldung.
Bisschen schade ist, das diese Community im deutschen Raum hier nahezu tod ist und keine wirkliche Diskussion entstehen kann.
Ich würde das nicht tun, weil man sonst bei Benutzerwechsel (Mitarbeiter scheidet aus oder bekommt eine andere Stelle) immer alle Sites durchgehen muß. Wenn man mit AD-Gruppen arbeitet, hat man das alles an zentraler Stelle.
Fly87:Bisschen schade ist, das diese Community im deutschen Raum hier nahezu tod ist und keine wirkliche Diskussion entstehen kann.
Das liegt wohl daran, daß das Thema an Bedeutung verloren hat. Ich selbst befasse mich auch nicht mehr wirklich mit SharePoint.