none
Sharepoint 2010 et les groupes AD RRS feed

  • Discussion générale

  • Bonjour à tous,

    Est-ce quelqu'un pourrait m'expliquer (ou m'aiguiller) sur la façon dont sharepoint 2010 (standard edtion) gére les groupes AD importés ?

    En effet j'ai quelques bizarreries qui me posent de sérieux probleme dans l'utilisatation des groupes AD pour gérer l'accés à des sites Sharepoint.

    Ou sont stockés les groupes AD importés ? est-il possible de les consulter, comment supprimé un groupe importé pour forcer Sharepoint à l'importer de nouveau ?

    Merci d'avance

    Olivier

    vendredi 5 septembre 2014 09:40

Toutes les réponses

  • Bonsoir Olivier,

    Je ne sais pas exactement comment les groupes AD sont gérés mais je ne me rappelle pas non plus qu'une liste des groupes AD soit à proprement dit accessible  dans une liste après une synchronisation de SharePoint avec l'AD.

    A quels problèmes es tu confronté ?

    As tu essayé de relancer la synchronisation via PowerShell ? Tes groupes AD utilisés sont de l'ordre de combien ? Combien d'utilisateur à l'intérieur ? Dans une OU distinct ? Le problème apparaît depuis longtemps ?

    N'hésite pas si tu as besoin d'aide

    Bon courage


    Mutandis mutatis

    mardi 9 septembre 2014 17:27
  • Bonjour et merci pour cette réponse.

    En fait j'ai des choses plutot bizarre dans l'utilisation d'un même groupa AD dans deux collection differentes.

    Pour rentrer plus dans les détails, j'ai environ 100 groupes repartis dans plusieurs OU differentes, je vais prendre l'exemple du dernier cas constaté. L'utilisateur A appartient au groupe AD groupeA, GroupeA contient d'autres utilisateurs comme (on les appelera B,C,D,E). Dan sma collection COL1 j'utilise GroupeA pour donner l'acces en lecture à mon site "testcol1", pour vérifier que tout est ok je vais dans autorisation du site et je clic sur vérifier les autorisations, je verifie pour mon utilisateur A, tout est ok, acces de type read fournit par le groupe A. je fais la même manip sur le site testcol2 appartenant à la collection COL2, je donne l'acces en lecture au site testcol2 au groupeA, je vérifie les autorisation pour utilisateur A mais là surprise aucune autorisation accordés, je vérifie pour un autre utilisateur du même groupe, acces READ fournit par le groupe A, donc le pb ne porte que sur l'utilisateur A qui semble ne pas appartenir au groupeA mais seulement dans la collection 2.

    Et ceci n'est qu'un exemple, j'en découvre d'autres régulierement (d'autres utilisateurs dans le même cas).

    D'ou ma question, comment suprimer GroupeA de shareoint pour forcer une nouvelle importation.

    Merci d'avance

    Olivier

    jeudi 11 septembre 2014 07:12
  • Tu peux me confirmer que tu as bien une seule Web Application dans ton exemple ?

    Tu peux aussi me confirmer par la même occasion que tu es connecté au même Domain Control pour Site Collection 1 et Site Collection 2 ?

    Tu as eu l'occasion de faire un nouvel import complet ?

    Je sais qu'il existe beaucoup de problèmes de synchronisation sur 2010 et en général on utilise un script PowerShell générique pour resynchroniser spécifiquement les utilisateurs d'une site collection.

    Au lieu de vouloir supprimer tes "groupes" , tu devrais davantage tester sur tes deux site collection que l'utilisateur A est le même (à jour). http://technet.microsoft.com/fr-fr/library/ff607580(v=office.14).aspx

    Pour faire une mise à jour spécifique de l'utilisateur, tu utilisera alors la commande Set-SPUser http://technet.microsoft.com/fr-fr/library/ff607827(v=office.14).aspx

    De là, si cela résoud ton problème , commence à généraliser le script en récupérant l'ensemble de tes utilisateur et boucler dessus pour les mettre à jour via PowerShell.

    Tu es sur les derniers cumulatives Update de SharePoint 2010 ?

    Tu as vérifié dans l'Event Viewer si tu as des messages concernant le service de Synchronisation FIM ?



    Mutandis mutatis

    jeudi 11 septembre 2014 08:50
  • Pour répondre à tes questions :

    J'ai bien une seule web application, ma topologie est trés simple, 1 serveur frontal et 1 serveur pour la BDD.

    Comment deux collections differentes peuvent-elles avoir des connections à des controlleurs de domaine differents ? 

    Non je n'ai pas fait d'import full depuis trés longtemps.

    Je vais jeter un oeil sur le sliens que tu m'a communiqué.

    C'est à jour coté CU.

    J'ai bien des messages d'erreur dans l'event log, mais je n'arrive pas à les corriger (j'ai essayé toutes les solutions proposées sur le web, sans résultats), voiv les messages :

    failure trying to synch site 51a86967-c0e5-4b47-8812-4a190233df8f for ContentDB 7cd81322-75d1-4a9a-b2c4-0874e10448d0 WebApp 8d4b01dc-ea89-4402-a4fd-864e13399edc.  Exception message was Cannot insert duplicate key row in object 'dbo.UserMemberships' with unique index 'CX_UserMemberships_RecordId_MemberGroupId_SID'. The duplicate key value is (0c37852b-34d0-418e-91c6-2ac25af4be5b, 365, 4, 0x0105000000000005150000007c746916c5bbf587652bf1ed05f9ab00).

    The statement has been terminated..

    failure trying to synch site f157ccd0-be52-42d2-a7d0-75f57c2f884f for ContentDB 7cd81322-75d1-4a9a-b2c4-0874e10448d0 WebApp 8d4b01dc-ea89-4402-a4fd-864e13399edc.  Exception message was Cannot insert duplicate key row in object 'dbo.UserMemberships' with unique index 'CX_UserMemberships_RecordId_MemberGroupId_SID'. The duplicate key value is (0c37852b-34d0-418e-91c6-2ac25af4be5b, 365, 27, 0x0105000000000005150000007c746916c5bbf587652bf1ed05f9ab00).

    The statement has been terminated..

    failure trying to synch site 82e6f82b-9d1e-4414-b27c-11c5cfd7192b for ContentDB 7b1e9bba-e26d-4da6-825d-e19e836d243e WebApp 8d4b01dc-ea89-4402-a4fd-864e13399edc.  Exception message was Cannot insert duplicate key row in object 'dbo.UserMemberships' with unique index 'CX_UserMemberships_RecordId_MemberGroupId_SID'. The duplicate key value is (0c37852b-34d0-418e-91c6-2ac25af4be5b, 284, 37, 0x0105000000000005150000007c746916c5bbf587652bf1ed50db0000).

    The statement has been terminated..

    Ces messages reviennent à jour mise a jour

    Encore merci pour ton aide.

    Olivier 

    jeudi 11 septembre 2014 12:37
  • j'ai trouvé un KB qui fait référence à tes messages d'erreur : http://support.microsoft.com/kb/2771190

    Il semble que le timer job de synchronisation plante à cause d'un problème de mise à jour au niveau de tes données. Tu trouveras une manipulation à réaliser dans la page de la KB fournie.

    Sinon , j'ai fais une recherche sur le reste des forums et dans des cas particuliers (déplacement d'une site collection vers une autre Web Application) tu peux avoir ce comportement. http://social.technet.microsoft.com/Forums/en-US/71255dff-4c15-4d1b-8897-8bfa11f6caa3/mysites-exception-message-was-cannot-insert-duplicate-key-row-in-object-dbousermemberships?forum=sharepointadminprevious

    Pour répondre à ta question , le cas de figure où tu as deux connections à des DC spécifique pour deux sites collections différentes, c'est dans le cadre de deux fermes bien distinct. Je préfère au moins poser la question pour éviter de passer à côté d'un point aussi structurant.

    Enfin , je te suggère également de voir à relancer un full import en weekend de préférence que tu pourras suivre sans risque. Et puis essaie de voir aussi à appliquer les actions contenues dans les liens si "la base" est toujours aussi "pourrie" après le full import. Dernier point , as tu essayé de voir si tout était OK sur un autre environnement de pré-production ou de développement . A priori , je dirais le problème vient spécifiquement des données (de la base de synchronisation) et de ton Timer Job de ton environnement mais là encore cela permet d'éliminer les cas de figure facile à vérifier. A mon avis, un rafraîchissement de tes données devrait permettre de supprimer ces erreurs et voir même de remettre en état le tout. 

    Tiens moi au courant

    Bon courage


    Mutandis mutatis

    jeudi 11 septembre 2014 19:06
  • Bonjour,

    J'avais déja trouvé ce KB, malheureusement la commande ne retourne aucun résultat :

    C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\14\BIN>stsadm -o sync -listolddatabases 5

    User Profile Application 'User Profile Synchronisation' - Partition '0c37852b-34d0-418e-91c6-2ac25af4be5b'
    No databases match the criteria for this Partition in this User Profile Application

    Ce weekend je lance l'import des profile en "Full", je te tiendrais au courant du résultat.

    Encore merci pour ton aide.

    Olivier

    vendredi 12 septembre 2014 06:22
  • Le message veut tout simplement dire que tes bases sont synchronisés depuis 5 jours.

    Essaie voir plutôt "stsadm -o sync -listolddatabases 0" pour voir en "temps réel" celle qui ne le sont pas.

    Et avant de débuter ton full import, je serais d'avis de faire un clean complet de tes bases de profil pour être certain que tu puisse éliminer des données potentiellement corrompu avant de réaliser la reconstruction de tes bases.

    "stsadm –o sync –deleteolddatabases 0" et tu lance ton import de profil full.

    Bon courage et bon weekend


    Mutandis mutatis

    vendredi 12 septembre 2014 10:34
  • Voici le résultat de la commande stsadm -o sync -listolddatabases 0

    User Profile Application 'User Profile Synchronisation' - Partition '0c37852b-34d0-418e-91c6-2ac25af4be5b'
    ID: 7cd81322-75d1-4a9a-b2c4-0874e10448d0  Synchronized: 9/12/2014 5:00:11 PM
    ID: 8b913363-c872-49fa-96d5-27d28fb51630  Synchronized: 9/12/2014 5:00:01 PM
    ID: eab6495a-fae9-4ccd-944e-4e63c68184c0  Synchronized: 9/12/2014 5:00:17 PM
    ID: 96474685-b0f5-4c58-bb46-8f4657fd7e6e  Synchronized: 9/12/2014 5:00:11 PM
    ID: 7b1e9bba-e26d-4da6-825d-e19e836d243e  Synchronized: 9/12/2014 5:00:17 PM

    Je ne sais pas trop comment interpreter ça.

    La commande stsadm –o sync –deleteolddatabases 0 ne risque t-elle pas de suprimer les raccourcis stockés dans le "Mysite" de chaque utilisateur ? (raccoucis créés via le bouton "connection à office")

    Merci d'avance

    Olivier

    vendredi 12 septembre 2014 15:18
  • bonjour,

    désolé de répondre un peu en retard mais j'avais pas vu le post.

    J'ai un soucis similaire. Le problème venait du sts( service token security) qui ne se met à jour que dans les 24 heures par défaut . essaye ca

    http://technet.microsoft.com/en-us/library/cc287917(office.12).aspx.

    @+


    xav

    vendredi 26 septembre 2014 18:00
  • Bonjour et merci pour ta réponse,

    Mais je suis en authentification "Windows" et non pas "Claim" normalement ce parametre ne devrait pas avoir d'influence.

    A+

    Olivire

    samedi 27 septembre 2014 07:30
  • Bonne question !! pour la commande –deleteolddatabases , ce qui me parait important à faire c'est de désactiver le MySite Cleaner Timer Job pour éviter de perdre tes données de MySite.

    Est ce que le full import a été réalisé ? 


    Mutandis mutatis

    samedi 27 septembre 2014 14:34
  • Bonjour,

    Merci pour ton retour, voila ce que j'ai fais :

    Import full => toujours les mêmes message d'erreur (failure trying to synch site ...)

    J'ai donc repliqué mon environnement de prod dans un réseau isolé pour pourvoir faire quelques tests avant de lancer tout ça (merci les VM), comme je n'ai pas constaté d'effets de bord indésirables, je me suis lancé en prod :

    stsadm –o sync –deleteolddatabases 0 suivi d'un import de profil full et depuis je n'ai plus de message d'erreur lors des synchro de profile.

    Reste à voir maintenant si les problemes de départ son toujours présents (pb avec des groupes AD), mais comme c'était franchement aléatoire je vais garder un oeil sur tout ça et te tiendrai au courant.

    Merci pour ton aide.

    Olivier

    lundi 29 septembre 2014 07:21
  • De rien c'est un plaisir ;)

    Pour bien finir et éventuellement si le problème continue à se poser ,je te conseillerai de reposer à place la configuration de la partie de synchronisation de ta ferme .

    Voici deux liens qui t'aideront à mieux appréhender dans ta recherche les mécanismes dans SharePoint :

    http://www.harbar.net/articles/sp2010ups.aspx

    http://blogs.msdn.com/b/spsocial/archive/2010/05/04/conceptual-view-of-how-user-profile-synchronization-works-in-sharepoint-2010.aspx

    Bon courage


    Mutandis mutatis

    lundi 29 septembre 2014 18:26
  • Bonjour Olivier,

    Je pense avoir eu la même problématique que toi.

    Cela est peut-être lié au fait que le USER_A de ton Groupe_A ne s'est jamais connecté sur la site collection COL_2. De ce fait, lorsque tu fais le check des permissions du USER_A, il apparaît comme quoi le compte n'a pas d'accès.

    Essaie de demander au USER_A de se connecter à la site collection COL_2, et de re-testé les autorisations accordés pour ce User.

    Je pense qu'après la connexion de l'utilisateur, tu devrais avoir un meilleur résultat.

    Tom 

    lundi 29 septembre 2014 23:36
  • Bonjour,

    Maglré qu'il ne semble plus y avoir de probleme de synchronisation des profiles, mon probleme originel est toujours d'actualité !!!

    Par contre le mot de Tom m'a mis la puce à l'oreille, il semble que tous les utilisateurs qui ont des problemes sont des utilisateurs dont la derniere connexion à cette collection de site remonte à plusieurs jours.

    Détails important, malgré que la vérification via "Vérifier les autorisations" dans le menu autorisation du site annonce que l'utilisateur n'a aucun droit dans le site, il est tout à fait possible à l'utilisateur de s'y connecter et d'y naviguer. En fait l'impact le plus important est l'envoi d'alerte qui n'est plus possible a chaque d'éclenchement d'alerte à destination de l'utilisateur il y a le mesasge d'erreur suivant dans les logs Sharepoint

    "event 278740,user mondomain\nomuser failed permissions check" et l'alerte n'est pas envoyée.

    Bizarrement si je créé un groupe shareopint et que j'y ajoute directement le compte de mon utilisateur il n'y a pas de probleme, les autorisations sont bien correctement appliqué et il n'y a plus de probleme d'envoi d'alerte.

    Je suis franchement étonné que personne n'est été dans le même cas que moi, du moins je n'ai pas trouvé d'inof à ce sujet sur le web.

    Si jamais quelqu'un à des idées je suis preneur.

    Olivier 

    jeudi 2 octobre 2014 13:17
  • Je viens d'écrire une bétise, si les utilisateurs sont dans un groupe sharepoint il semble qu'il n'y ait plus de probleme d'autorisation mais ils ne receoivent pas les alerts, il y a toujours ce message d'erreur dans les logs.

    Olivier

    jeudi 2 octobre 2014 13:59
  • Bon, suite à mes précedents post voici un point sur les derniers tests :

    J'ai bien, comme je le pensait un probleme avec certains group AD qui ne semblent pas contenir les mêmes utilisateurs selon la collection ou on les utilisent, la fonction "verifier les autorisations" le mets bien en evidence.

    Autre probleme qui m'a enduit en erreur, si un utilisateur reste plusieurs jours sans se connecter, il ne recoit plus les alerts, mais il semble que ce soit un autre probleme.

    Mais pour l'instant la seule solution que j'ai trouvé c'est, lorsque j'ai repéré qu'un utilisateur n'avait pas d'acces via son group AD, je l'ajoute dans un groupe sharepoint (via son compte AD) avec le même type d'acces et tout rentre dans l'ordre, mais franchement ce n'est pas top.

    Si quelqu'un à une idée...

    Je commence à desespérer.

    Olivier

    jeudi 2 octobre 2014 15:57
  • Bonsoir Olivier,

    Tes groupes AD par curiosité contient combien d'utilisateur (pour ceux sur lesquels tu as des soucis) ?

    Tu as combien d'utilisateurs infine qui se connecte à ton SharePoint ?

    Pour confirmer , tu utilise l'import et non pas la synchronisation entre ton sharepoint et ton AD ?

    As tu bien un seul domaine AD ? Aucun trust entre un autre domaine où figurerait des utilisateurs qui rencontrent des problèmes ? 

    Est ce que tu as un schedule pour l'import des données depuis l'AD dans SharePoint et il est de combien s'il te plaît ? Est ce qu'il y a d'autres job qui sont prévus de tourner en même temps que l'import ?



    Mutandis mutatis

    mardi 7 octobre 2014 22:17
  • Bonjour,

    un des groupe en question contient une dizaine de comptes utilisateurs, il y a environ 350 utilisateurs qui se connectent à Sharepoint.

    Je ne suis pas certain de comprendre ce que tu veux dire par "import" ou "synchronisation", j'utilise le "User profile synchronisation" uniquement dans le sens AD vers Sharepoint.

    J'ai bien un seul domaine AD, il y a un seul "Synchronization schedule (incremental)) de planifié, tous les jours à 1:00 du matin.

    Je commence vraiement à y perdre mon latin, j'avais depuis des semaines des problemes avec un group qui semblait ne pas contenir tous les utilisateurs qu'il y aurait du y avoir,hier j'ai été obligé de rebooter le frontal sharepoint pour des raisons purement "infrastructure" et depuis le reboot, le groupe parrait complet maintenant. Je me demande si li n'y aurait pas comme un cache quelque part qui contiendrait des données éronnées par exemple ?

    Olivier

    mercredi 8 octobre 2014 07:44
  • Autant pour moi ,l'option de synchronisation dont je parle n'est présente que sur 2013 à priori.

    J'ai trouvé un article qui correspond à priori à l'ensemble de symptomes dont tu nous a parlé à détail prêt cela fait référence à une authentification claims alors que tu nous a dis que tu étais en windows authentification

    Je te laisse en prendre connaissance et voir comment tu peux l'exploiter :

    http://gagasolutions.co.uk/ad-sp-group-issue/

    Le dernier point de rédémarrer ton WFE est vraiment un point qui est remonté dans cet article pour revoir le retour du service donc essaie voir si il n'y a pas un rapport avec la durée de vie du token de sécurité sur les WFE qui pourrait poser un problème.

    Sinon, je te suggérai bien de faire un recycle (voir un IISRESET) après les heures business pour voir si cela aide.

    Tiens nous au courant.


    Mutandis mutatis

    mercredi 8 octobre 2014 13:14