none
Доступ на Sharepoint из дружественного домена RRS feed

 > 

  • Вопрос

  • Question
    Нужно войти
    0
    Нужно войти

    Имеется два домена: Домен1 и Домен2. Администратор сказал что они "дружат" друг с другом.

    Портал Sharepoint развернут в Домен1. Для учеток и групп из Домен1 доступ предоставляется нормально. Мне нужно дать доступ пользователям Домен2.

    Когда я ввожу учетки конкретных пользователей из Домен2, то Sharepoint их распознает и добавляет.

    Но если я ввожу учетку группы, то получаю ошибку "К сожалению, вам не разрешено обмениваться этим с внешними пользователями." и учетка не распознается sharepoint.

    Как мне дать доступ доменной группе Домен2? Мне нужно дать доступ всем пользователям из Домен2.

    26 декабря 2014 г. 4:53
    |

Ответы

Все ответы

  • Question
    Нужно войти
    2
    Нужно войти
    В какие группы вы добавляете пользователей: группы SharePoint или доменные? Если в доменные, то какой тип этих групп (Domain Local или Global)?

    Innovation distinguishes between a leader and a follower - Steve Jobs

    26 декабря 2014 г. 6:34
    |
  • Question
    Нужно войти
    0
    Нужно войти
    В группу Sharepoint
    26 декабря 2014 г. 6:36
    |
  • Question
    Нужно войти
    3
    Нужно войти

    Вы добавляете группу пользователей из домена2 в SharePoint и пользователи, которые в этой доменной группе находятся, не распознаются в SharePoint?

    Какой тип этой группы в домене 2 - Domain Local или Global?

    Попробуйте сделать так:

    1. создать Домен1\Группа1 (Domain Local) и ее добавить в группу SharePoint.
    2. создать Домен2\Группа1 (Global) и добавить ее в группу Домен1\Группа1
    3. добавить пользователей из домена2 в группу Домен2\Группа1 и проверить доступ

    Innovation distinguishes between a leader and a follower - Steve Jobs

    26 декабря 2014 г. 7:19
    |
  • Question
    Нужно войти
    0
    Нужно войти

    Вы добавляете группу пользователей из домена2 в SharePoint и пользователи, которые в этой доменной группе находятся, не распознаются в SharePoint?

    Я не знаю в какие пользователи находятся в этой группе. Не распознается сама группа домена2.

    Спасибо за предложения, попробую так сделать

    26 декабря 2014 г. 7:32
    |
  • Question
    Нужно войти
    0
    Нужно войти

    Пробовали как для глобальной, так и для универсальной группы домена2.

    Создали локальную группу в домен1, добавили в нее глобальную группу домена2, включающую всех пользователей (группа: "пользователи домена").

    дали доступ локальной группе домена1 на sharepoint, но у пользователей домена 2 доступ не появился.

    26 декабря 2014 г. 7:50
    |
  • Question
    Нужно войти
    2
    Нужно войти

    Теперь не появляется доступ или не добавляется в группу SP. Если в группу добавились попробуйте релогон.

    26 декабря 2014 г. 9:43
    |
  • Question
    Нужно войти
    0
    Нужно войти

    доступа у пользователей нет. Проверял: настройки -> разрешения на доступ -> проверить разрешения. ввел учетку домена2 - разрешений для нее нет.

    26 декабря 2014 г. 13:43
    |
  • Question
    Нужно войти
    2
    Нужно войти
    Ок, группу добавили это уже хорошо. Посмотрите синхранизация групп запущенна с каким интервалом. Это службы шарика в ца, в отслеживании.
    26 декабря 2014 г. 13:46
    |
  • Question
    Нужно войти
    0
    Нужно войти
    Можете сказать точное название задания? И, желательно, к какой службе оно относится. похожих я не нашел, есть только "синхронизация профилей пользователей", но это не то. За выходные доступ не появился (проверил разрешения у произвольной учетки), значит данная служба, скорее всего, не запущена.
    29 декабря 2014 г. 1:54
    |
  • Question
    Нужно войти
    2
    Нужно войти

    Добрый день,

    посмотрите логи ULS внимательно, Служба синхронизации профилей если не отработала то обязательно это будет указано в логах.

    29 декабря 2014 г. 2:55
    |
  • Question
    Нужно войти
    0
    Нужно войти

    Вы уверены что "Служба синхронизации профилей" подцепит учетки пользователей домена? Мне казалось что она синхронизирует данные пользователей (должность, имя и т.д.)

    "Служба синхронизации профилей пользователей" до этого не запускалась. Сейчас удалось запустить эту службу.

    29 декабря 2014 г. 3:06
    |
  • Question
    Нужно войти
    2
    Нужно войти

    Проверьте настройки Trust'ов:

    вот неплохое руководство: How to Add trust domains in the SharePoint Farm

    29 декабря 2014 г. 3:29
    |
  • Question
    Нужно войти
    2
    Нужно войти

    Не уверен, что это поможет. В настройках службы синхронизации профилей- Настройка параметров синхронизации- есть галка синхронизировать пользователи и группы.

    Но скорее всего это из другой оперы.

    29 декабря 2014 г. 6:10
    |
  • Question
    Нужно войти
    3
    Нужно войти

    Вот похожая тема http://community.office365.com/en-us/f/154/t/227686.aspx

    Сазонов Илья http://isazonov.wordpress.com/

    29 декабря 2014 г. 6:27
    |
    Модератор
  • Question
    Нужно войти
    0
    Нужно войти
    Руководство, конечно, хорошее. Оно описывает как "подружить" домены. Но они уже "дружат", причем обоюдно.
    29 декабря 2014 г. 6:31
    |
  • Question
    Нужно войти
    0
    Нужно войти
    Это, скорее, фича для личных сайтов. На всякий случай запустил. Если поможет - отпишусь
    29 декабря 2014 г. 6:35
    |
  • Question
    Нужно войти
    0
    Нужно войти
    К сожалению в ней описано решение аналогичной проблемы для Office 365, у меня же Sharepoint развернут на нашем сервере.
    29 декабря 2014 г. 6:43
    |
  • Question
    Нужно войти
    2
    Нужно войти

    т.е. если юзера добавить руками в группу шарепоинт он добавляется?

    А если его руками добавить в группу АД того домена где стоит шарик? Учитывая домены и локальные группы. Через эту группу он получает права после проверки?

    29 декабря 2014 г. 7:51
    |
  • Question
    Нужно войти
    2
    Нужно войти
    А в чём разница: там тот же Sharepoint.

    Сазонов Илья http://isazonov.wordpress.com/

    29 декабря 2014 г. 7:51
    |
    Модератор
  • Question
    Нужно войти
    2
    Нужно войти

    Скорее у вас извечная проблема неразворачивания AD групп SharePoint'ом.

    Попробуйте добавить пользователей домена напрямую в группу SP.

    29 декабря 2014 г. 7:59
    |
  • Question
    Нужно войти
    2
    Нужно войти
    А в чём разница: там тот же Sharepoint.

    Сазонов Илья http://isazonov.wordpress.com/

    Разница в том, что O365 настроен правильно.
    29 декабря 2014 г. 7:59
    |
  • Question
    Нужно войти
    0
    Нужно войти

    А если его руками добавить в группу АД того домена где стоит шарик?

    Добавил. Пока ничего не поменялось. Нужно ждать какое-то время для синхронизации шарика и AD?

    Заметил такое:

    Учетки некоторых пользователей  второго домена я могу добавить, а некоторые шарик упорно не хочет видеть. Это зависит от настроек AD? Что это за настройки?

    29 декабря 2014 г. 8:14
    |
  • Question
    Нужно войти
    0
    Нужно войти
    Sharepoint, может, и тот же, но настройки разные. Я не нашел у себя тех настроек, которые были указаны в статье
    29 декабря 2014 г. 8:15
    |
  • Question
    Нужно войти
    0
    Нужно войти

    Обнаружил что проблема не только в группах:

    Учетки некоторых пользователей  второго домена я могу добавить, а некоторые шарик упорно не хочет видеть. Это зависит от настроек AD? Что это за настройки?

    29 декабря 2014 г. 8:16
    |
  • Question
    Нужно войти
    3
    Нужно войти

    Обнаружил что проблема не только в группах:

    Учетки некоторых пользователей  второго домена я могу добавить, а некоторые шарик упорно не хочет видеть. Это зависит от настроек AD? Что это за настройки?

    Sharepoint не видит половину пользователей

    Grant Active Directory Domain Services permissions for profile synchronization in SharePoint Server 2013

    Возможно у вас еще не прошла репликация.

    • Изменено Maxim Shusharin 29 декабря 2014 г. 8:24
    • Помечено в качестве ответа Skarzhinets Maxim 30 декабря 2014 г. 5:00
    29 декабря 2014 г. 8:21
    |
  • Question
    Нужно войти
    2
    Нужно войти

    вот это вообще странно.

    Может проблемы с синхронизацией сайтов контроллера домена на уровне АД?

    Доступ на уровне файловых папок на сервере нормально проходит? видны и те которые добавляются в шарик и те которые нет?

    Нужно ждать какое-то время для синхронизации шарика и AD?

    По идее ждать ничего не нужно. Но добавлять нужно правильно. глобальная, локальная группа или универсальная.

    Попробуйте с фаловыми шарами. Отсекаем полностью ошибку другого уровня. Потом будет уже ковырять шарик.

    29 декабря 2014 г. 8:30
    |
  • Question
    Нужно войти
    0
    Нужно войти
    Команда Stsadm -o getproperty -pn peoplepicker-searchadforests -url “адрес”
    вернула: <Property Exist="No" />
    Это значит настройки по умолчанию?
    29 декабря 2014 г. 8:37
    |
  • Question
    Нужно войти
    2
    Нужно войти
    Команда Stsadm -o getproperty -pn peoplepicker-searchadforests -url “адрес”
    вернула: <Property Exist="No" />
    Это значит настройки по умолчанию?

    Это значит вообще не настроено. Настраивайте через setproperty.

    Попробуйте с фаловыми шарами. Отсекаем полностью ошибку другого уровня. Потом будет уже ковырять шарик.

    А вот это поддержу.

    29 декабря 2014 г. 8:39
    |
  • Question
    Нужно войти
    6
    Нужно войти

    Для решения проблемы необходимо:

    1. Проверить корректность разрешения DNS для доменов, желательно с фермы SharePoint.

    2. Работоспособность трастов между доменами (корректность настроек в AD, фактор пограничных маршрутизаторов, файерволлов), например с помощью утилиты PeoplePicker Port Tester. Проверять естественно тоже с апп-сервера фермы.

    3. Проверить права при авторизации - если делали через kerberos, то вбит ли нужный spn, делегирована ли авторизация для объекта компьютера апп-сервера фермы, что говорит klist.

    4. Настроить из консоли (запуск с админполномочиями системы) выборку домена в sharepoint.
    Рабочий пример:

    STSADM.exe -o setproperty -propertyname peoplepicker-searchadforests -propertyvalue "domain:office1.company.local;domain:office2.company.local;domain:office3.company.local" -url http://intranet.office1.company.local

    Полезные ссылки:



    • Изменено Allan Stark 29 декабря 2014 г. 9:25
    • Помечено в качестве ответа Skarzhinets Maxim 30 декабря 2014 г. 5:05
    29 декабря 2014 г. 9:20
    |
  • Question
    Нужно войти
    2
    Нужно войти
    Круто
    29 декабря 2014 г. 10:16
    |
  • Question
    Нужно войти
    2
    Нужно войти
    Всем спасибо за помощь. Проблему решил. В моем случае нужно было настроить средство поиска людей с помощью команды stdadm. Сейчас группы и учетки дружественных доменов шарик распознает
    30 декабря 2014 г. 5:04
    |