none
Доступ на Sharepoint из дружественного домена RRS feed

  • Вопрос

  • Имеется два домена: Домен1 и Домен2. Администратор сказал что они "дружат" друг с другом.

    Портал Sharepoint развернут в Домен1. Для учеток и групп из Домен1 доступ предоставляется нормально. Мне нужно дать доступ пользователям Домен2.

    Когда я ввожу учетки конкретных пользователей из Домен2, то Sharepoint их распознает и добавляет.

    Но если я ввожу учетку группы, то получаю ошибку "К сожалению, вам не разрешено обмениваться этим с внешними пользователями." и учетка не распознается sharepoint.

    Как мне дать доступ доменной группе Домен2? Мне нужно дать доступ всем пользователям из Домен2.

    26 декабря 2014 г. 4:53

Ответы

Все ответы

  • В какие группы вы добавляете пользователей: группы SharePoint или доменные? Если в доменные, то какой тип этих групп (Domain Local или Global)?

    Innovation distinguishes between a leader and a follower - Steve Jobs

    26 декабря 2014 г. 6:34
  • В группу Sharepoint
    26 декабря 2014 г. 6:36
  • Вы добавляете группу пользователей из домена2 в SharePoint и пользователи, которые в этой доменной группе находятся, не распознаются в SharePoint?

    Какой тип этой группы в домене 2 - Domain Local или Global?

    Попробуйте сделать так:

    1. создать Домен1\Группа1 (Domain Local) и ее добавить в группу SharePoint.
    2. создать Домен2\Группа1 (Global) и добавить ее в группу Домен1\Группа1
    3. добавить пользователей из домена2 в группу Домен2\Группа1 и проверить доступ

    Innovation distinguishes between a leader and a follower - Steve Jobs

    26 декабря 2014 г. 7:19
  • Вы добавляете группу пользователей из домена2 в SharePoint и пользователи, которые в этой доменной группе находятся, не распознаются в SharePoint?

    Я не знаю в какие пользователи находятся в этой группе. Не распознается сама группа домена2.

    Спасибо за предложения, попробую так сделать

    26 декабря 2014 г. 7:32
  • Пробовали как для глобальной, так и для универсальной группы домена2.

    Создали локальную группу в домен1, добавили в нее глобальную группу домена2, включающую всех пользователей (группа: "пользователи домена").

    дали доступ локальной группе домена1 на sharepoint, но у пользователей домена 2 доступ не появился.

    26 декабря 2014 г. 7:50
  • Теперь не появляется доступ или не добавляется в группу SP. Если в группу добавились попробуйте релогон.

    26 декабря 2014 г. 9:43
  • доступа у пользователей нет. Проверял: настройки -> разрешения на доступ -> проверить разрешения. ввел учетку домена2 - разрешений для нее нет.

    26 декабря 2014 г. 13:43
  • Ок, группу добавили это уже хорошо. Посмотрите синхранизация групп запущенна с каким интервалом. Это службы шарика в ца, в отслеживании.
    26 декабря 2014 г. 13:46
  • Можете сказать точное название задания? И, желательно, к какой службе оно относится. похожих я не нашел, есть только "синхронизация профилей пользователей", но это не то. За выходные доступ не появился (проверил разрешения у произвольной учетки), значит данная служба, скорее всего, не запущена.
    29 декабря 2014 г. 1:54
  • Добрый день,

    посмотрите логи ULS внимательно, Служба синхронизации профилей если не отработала то обязательно это будет указано в логах.

    29 декабря 2014 г. 2:55
  • Вы уверены что "Служба синхронизации профилей" подцепит учетки пользователей домена? Мне казалось что она синхронизирует данные пользователей (должность, имя и т.д.)

    "Служба синхронизации профилей пользователей" до этого не запускалась. Сейчас удалось запустить эту службу.

    29 декабря 2014 г. 3:06
  • Проверьте настройки Trust'ов:

    вот неплохое руководство: How to Add trust domains in the SharePoint Farm

    29 декабря 2014 г. 3:29
  • Не уверен, что это поможет. В настройках службы синхронизации профилей- Настройка параметров синхронизации- есть галка синхронизировать пользователи и группы.

    Но скорее всего это из другой оперы.

    29 декабря 2014 г. 6:10
  • Вот похожая тема http://community.office365.com/en-us/f/154/t/227686.aspx


    Сазонов Илья http://isazonov.wordpress.com/

    29 декабря 2014 г. 6:27
    Модератор
  • Руководство, конечно, хорошее. Оно описывает как "подружить" домены. Но они уже "дружат", причем обоюдно.
    29 декабря 2014 г. 6:31
  • Это, скорее, фича для личных сайтов. На всякий случай запустил. Если поможет - отпишусь
    29 декабря 2014 г. 6:35
  • К сожалению в ней описано решение аналогичной проблемы для Office 365, у меня же Sharepoint развернут на нашем сервере.
    29 декабря 2014 г. 6:43
  • т.е. если юзера добавить руками в группу шарепоинт он добавляется?

    А если его руками добавить в группу АД того домена где стоит шарик? Учитывая домены и локальные группы. Через эту группу он получает права после проверки?

    29 декабря 2014 г. 7:51
  • А в чём разница: там тот же Sharepoint.

    Сазонов Илья http://isazonov.wordpress.com/

    29 декабря 2014 г. 7:51
    Модератор
  • Скорее у вас извечная проблема неразворачивания AD групп SharePoint'ом.

    Попробуйте добавить пользователей домена напрямую в группу SP.

    29 декабря 2014 г. 7:59
  • А в чём разница: там тот же Sharepoint.

    Сазонов Илья http://isazonov.wordpress.com/

    Разница в том, что O365 настроен правильно.
    29 декабря 2014 г. 7:59
  • А если его руками добавить в группу АД того домена где стоит шарик?

    Добавил. Пока ничего не поменялось. Нужно ждать какое-то время для синхронизации шарика и AD?

    Заметил такое:

    Учетки некоторых пользователей  второго домена я могу добавить, а некоторые шарик упорно не хочет видеть. Это зависит от настроек AD? Что это за настройки?

    29 декабря 2014 г. 8:14
  • Sharepoint, может, и тот же, но настройки разные. Я не нашел у себя тех настроек, которые были указаны в статье
    29 декабря 2014 г. 8:15
  • Обнаружил что проблема не только в группах:

    Учетки некоторых пользователей  второго домена я могу добавить, а некоторые шарик упорно не хочет видеть. Это зависит от настроек AD? Что это за настройки?

    29 декабря 2014 г. 8:16
  • Обнаружил что проблема не только в группах:

    Учетки некоторых пользователей  второго домена я могу добавить, а некоторые шарик упорно не хочет видеть. Это зависит от настроек AD? Что это за настройки?

    Sharepoint не видит половину пользователей

    Grant Active Directory Domain Services permissions for profile synchronization in SharePoint Server 2013

    Возможно у вас еще не прошла репликация.

    • Изменено Maxim Shusharin 29 декабря 2014 г. 8:24
    • Помечено в качестве ответа Skarzhinets Maxim 30 декабря 2014 г. 5:00
    29 декабря 2014 г. 8:21
  • вот это вообще странно.

    Может проблемы с синхронизацией сайтов контроллера домена на уровне АД?

    Доступ на уровне файловых папок на сервере нормально проходит? видны и те которые добавляются в шарик и те которые нет?

    Нужно ждать какое-то время для синхронизации шарика и AD?

    По идее ждать ничего не нужно. Но добавлять нужно правильно. глобальная, локальная группа или универсальная.

    Попробуйте с фаловыми шарами. Отсекаем полностью ошибку другого уровня. Потом будет уже ковырять шарик.

    29 декабря 2014 г. 8:30
  • Команда Stsadm -o getproperty -pn peoplepicker-searchadforests -url “адрес”
    вернула: <Property Exist="No" />
    Это значит настройки по умолчанию?
    29 декабря 2014 г. 8:37
  • Команда Stsadm -o getproperty -pn peoplepicker-searchadforests -url “адрес”
    вернула: <Property Exist="No" />
    Это значит настройки по умолчанию?

    Это значит вообще не настроено. Настраивайте через setproperty.

    Попробуйте с фаловыми шарами. Отсекаем полностью ошибку другого уровня. Потом будет уже ковырять шарик.

    А вот это поддержу.

    29 декабря 2014 г. 8:39
  • Для решения проблемы необходимо:

    1. Проверить корректность разрешения DNS для доменов, желательно с фермы SharePoint.

    2. Работоспособность трастов между доменами (корректность настроек в AD, фактор пограничных маршрутизаторов, файерволлов), например с помощью утилиты PeoplePicker Port Tester. Проверять естественно тоже с апп-сервера фермы.

    3. Проверить права при авторизации - если делали через kerberos, то вбит ли нужный spn, делегирована ли авторизация для объекта компьютера апп-сервера фермы, что говорит klist.

    4. Настроить из консоли (запуск с админполномочиями системы) выборку домена в sharepoint.
    Рабочий пример:

    STSADM.exe -o setproperty -propertyname peoplepicker-searchadforests -propertyvalue "domain:office1.company.local;domain:office2.company.local;domain:office3.company.local" -url http://intranet.office1.company.local

    Полезные ссылки:



    • Изменено Allan Stark 29 декабря 2014 г. 9:25
    • Помечено в качестве ответа Skarzhinets Maxim 30 декабря 2014 г. 5:05
    29 декабря 2014 г. 9:20
  • Круто
    29 декабря 2014 г. 10:16
  • Всем спасибо за помощь. Проблему решил. В моем случае нужно было настроить средство поиска людей с помощью команды stdadm. Сейчас группы и учетки дружественных доменов шарик распознает
    30 декабря 2014 г. 5:04