Benutzerverwaltung und Synchonisation mit AD

Andi Fandrich Als Antwort am 17 Aug. 2012 15:22

Eines mal vorweg: der Benutzerprofildienst ist wirklich zickig und wenn Du ihn zum Laufen bekommen hast, kannst Du stolz sein. Es hängt hierbei auch sehr viel vom aktuellen Patchlevel ab. Mit den letzten CUs ab ca. Herbst 2011 hatten die meisten Erfolg. Hier noch die ultimative Anleitung dazu: http://www.harbar.net/articles/sp2010ups.aspx

[quote user="Gunni"]Kann es daran liegen, dass das verwendete Farmkonto noch nicht die AD-Berechtigung „Replicating Directory Changes“ besitzt?[/quote]

Sehr wahrscheinlich. Der Dienst ruft nicht einfach die Daten ab, sondern nutzt die Replizierungsschnittstellen.

[quote user="Gunni"]Ideal wäre eine duale Synchronisation, also sowohl Import von AD-Daten, als auch Export zum AD[/quote]

Das geht. Einen "Beweislink" habe ich aber gerade nicht parat.

[quote user="Gunni"]Kann ich die Benutzer einschränken gewisse Attribute zu ändern?[/quote]

Ja, das ist einstellbar.

[quote user="Gunni"]Ich benötige eine Benutzerverwaltung für unser Personal[/quote]

Das wiederum geht nicht so einfach, weil man nur einstellen kann, welche Attribute geändert werden dürfen, aber es ist nicht einstellbar, daß man dazu bestimmte Rechte benötigt. Also es dürfen entweder alle, oder nur der Benutzer selbst oder gar niemand.

Hier werdet Ihr um Drittanbietertools (ich kenne aber keine) oder Eigenentwicklung nicht herumkommen. Dabei kann man sich dann auch überlegen, ob das Tool die Daten evtl. sogar direkt im AD ändert. Dann würde ein Import der Daten nach SP ausreichen.

Thomas Östreich Als Antwort am 17 Aug. 2012 17:50

[quote user="Gunni"](2.) Kann ich in beide Richtungen gleichzeitig synchronisieren? Oder ist es besser wenn ich mich entscheide, Admin legt Benutzer an (Name, E-Mail, etc. - Import) und die Verwaltung modifiziert Daten (Telefon, FAX, Vorgesetzter, … - Export).
(3.) Kann ich die Benutzer einschränken gewisse Attribute zu ändern?
(4.) Ich benötige eine Benutzerverwaltung für unser Personal, welche Möglichkeiten stehen mir zur Verfügung? Gibt es da was von der Stange, ein externes Webpart (for free) oder selbst ist der Mann (/Frau) und ich nutze den Designer/VS2010?[/quote]

Die neuen Windows Server 2008 R2 haben ein Tool zur schöne Verwaltung für Benutzerdaten im AD. Es dafür sogar vorgesehen das sowetwas die Personalabteilung erledigt kann durch Delegierung.

http://technet.microsoft.com/de-de/library/dd378856(v=ws.10).aspx

http://blog.dikmenoglu.de/PermaLink,guid,560206de-dca3-44ae-baa6-30d07e460814.aspx

Vorteil: Adressbuch Outlook, SharePoint UserProfilService

Gunni Als Antwort am 20 Aug. 2012 09:06

Hallo Andi und Frank,
vielen Dank für eure Antworten!

Ich arbeite mir mal die Anleitung durch und hoffe, dass meine Kollegen die AD-Berechtigung zeitnahe frei geben.

[quote user="Andi Fandrich"]Das geht. Einen "Beweislink" habe ich aber gerade nicht parat. [/quote]

Ich muss nochmal googlen, falls ich nichts finde, lege ich die Eigenschaften fest, welche Importiert und welche Exportiert werden sollen. Falls aber doch jemand einen Link hat, wäre ich sehr dankbar.

[quote user="Andi Fandrich"]Ja, das ist einstellbar.[/quote]

Sehr gut, da schaue ich gleich mal.

[quote user="Andi Fandrich"]Hier werdet Ihr um Drittanbietertools (ich kenne aber keine) oder Eigenentwicklung nicht herumkommen.[/quote]

Ich werde mal schauen, eventuell machen wir das dann in einer Eigenentwicklung oder durch Thomas seinen Lösungsvorschlag.

[quote user="Thomas Östreich"]Es dafür sogar vorgesehen das sowetwas die Personalabteilung erledigt kann durch Delegierung.[/quote]

Vielen Dank für die Links. Kling schon mal nach einer Alternative zur Eigenentwicklung.

OK, dann arbeite ich mich mal tiefer in die Materie ein. Ich denke, dass das nicht mein letzter Betrag bleibt. ;)

Grüße Norman

Gunni Als Antwort am 10 Sept. 2012 14:18

Normal 0 21 false false false DE X-NONE X-NONE

Hey, ich muss euch nochmals um Rat fragen.

1.      1. Unter der „Benutzerprofildienst-Anwendung“ gibt es unter Personen >> Benutzerprofile verwalten. Dort kann man ein importiertes Benutzerprofil suchen und anschließend bearbeiten.

Besteht die Möglichkeit dieses Verwaltungstool der Zentraladministration auf einer Website in meiner Websitesammlung zu nutzen. Ich denke dabei an ein eigenes Webpart, welches den Quelltext dieses Verwaltungstools enthält oder ähnliches.

Dieses Webpart könnte ich dann der Personalabteilung mit einem beschränkten Nutzerkreis zur Verfügung stellen um Veränderungen an inaktiven Nutzern zu tätigen.

2.      2. In „Benutzerprofildienst-Anwendung“ findet man rechts Profilsynchronisierungseinstellungen, dort steht

„Synchronisierungszeitplan (inkrementell): Es ist kein Zeitplan festgelegt“.

Ich habe jedoch unter Synchronisierungszeitgeberauftrag konfigurieren den:

Benutzerprofildienst-Anwendung – Inkrementelle Synchronisierung von Benutzerprofilen

Und auch

Benutzerprofildienst-Anwendung – Vollständige Synchronisierung des Benutzerprofils mit SharePoint

in den Zeitgeberaufträgen festgelegt bzw. Eingestellt. 

Ist es normal, dass dort steht, dass kein Zeitplan festgelegt ist?

(Prio. liegt mir aber bei 1.)

Vielen Dank im Voraus,

Gruß Norman