none
Problème de synchronisation entre AD et SharePoint Fundation 2010 pour groupes de sécurité global RRS feed

  • Question

  • Bonjour,

    Nous avons créé dans notre AD, plusieurs groupe de sécurité global auxquels nous avons associé des utilisateurs du domaine en tant que membres.

    Notre but étant de faciliter la gestion des droits d'accès et autorisations de site sur tous nos développements Sharepoint.

    Nous rencontrons le problème suivant.

    Sur un site sharepoint, dans les autorisations de site, quand on associe une première fois un groupe de sécurité créé dans l'AD : cela fonctionne très bien.

    Tous les membres de ce groupe sont correctement reconnus par notre site sharepoint et bénéficient bien des droits que nous avons accordé au groupe de sécurité de notre AD.

    Par contre, toute modification ultérieure de notre groupe de sécurité dans l'AD n'est pas prise en compte dans SharePoint.

    Par exemple, si on ajoute ou enlève des membres dans notre groupe AD : SharePoint n'est pas informé des changements.

    Même problème si on décide de renommer le nom du groupe de sécurité (faute de frappe lors de sa création par exemple)

    Nous avons essayé de forcer des synchronisations avec l'AD à l'aide de commandes PowerShell

    Exemple :

    Set-SPUser -identity "mondomaine\usertest" -web http://devweb01 -syncfromad

    Cette commande fonctionne très bien pour synchroniser un utilisateur du domaine mais ne fonctinne pas dès qu'on essaye de synchroniser un groupe de sécurité.

    Si on essaye cette commande sur un groupe de sécurité du domaine, on obtient l'erreur suivante :

    Set-SPUser : Impossible d'obtenir le nom complet ou l'adresse de messagerie de
    l'utilisateur « mondomaine\usertest ».
    Au niveau de ligne : 1 Caractère : 11
    + set-spuser <<<<  -identity $user -web http://devweb01 -syncfromad
        + CategoryInfo          : InvalidData: (Microsoft.Share...SPCmdletSetUser:
       SPCmdletSetUser) [Set-SPUser], SPException
        + FullyQualifiedErrorId : Microsoft.SharePoint.PowerShell.SPCmdletSetUser

    D'où nos questions :

    Pourquoi SharePoint Fundation n'est pas synchronisé automatiquement avec les évolutions de l'AD ?

    Est-il possible de forcer SharePoint à se synchroniser avec les changements effectués dans notre AD concernant des groupes de sécurité global ? si oui avec quelle commande ou solution ?

    Merci d'avance pour votre aide.

    David.

    lundi 21 janvier 2013 09:04

Réponses

  • Bonsoir

    Franchement je pense que dans la série "questions idiotes", on s'en est posé pas mal en interne...

    J'ai un accès Administrateur domaine sur la console de gestion de l'AD et j'ai donc un accès direct aux contenus et à la gestion des groupes dans notre AD.

    Comme nos problèmes semblaient assez lié à des groupes ayant fait l'objet d'un renommage dans l'AD, nous en avons créé de nouveau et revu toutes les autorisations de sites correspondantes (travail long et fastidieux)

    A priori nos équipes de développement ont également fait évoluer une partie de leur code pour changer la récupération de certaines données de l'AD.

    Sur les nouveaux groupes créés "proprement", tout semble de nouveau fonctionner correctement... Il faut parfois patienter un bon moment avant que l'utilisateur n'ait accès aux droits qui lui ont été accordés mais cela fini par fonctionner (temps de réplications entre les différents AD du domaine ?)

    Impossible de tester tous les comptes utilisateurs alors on sera fixé demain pour savoir si tout est rentré dans l'ordre.

    Je vous tiendrai informé.

    Encore merci pour votre aide.

    David.

    mercredi 23 janvier 2013 18:39

Toutes les réponses

  • Bonjour,

    Cette commande fonctionne très bien pour synchroniser un utilisateur du domaine mais ne fonctinne pas dès qu'on essaye de synchroniser un groupe de sécurité.

    Cela me parraît normale car, cette commande est destiné aux utilisateurs et non aux grouppes.

    Cependant je suis quand même éttoné qu'il n'yai pas de sync entre AD et SP..

    Pourriez-vous utiliser ce script Powershell et voir si la syncro fonctionne?

    http://sharepoint-geek.com/2011/07/27/sync-sharepoint-foundation-2010-user-profiles-to-ad-using-powershell/

    Ou si vous avez des notions en DEV: http://blog.falchionconsulting.com/index.php/2011/12/updating-sharepoint-2010-user-information/

    Merci d'avance pour votre retour,

    G.


    My New Technical Blog: WWW.GKNZCFC.NET
    SharePoint Community Expert

    mardi 22 janvier 2013 07:47
  • bonjour manaophe

    Il semble qu'il y ai un gros soucis de config de votre SharePoint, ou vous pensez qu'il est configuré pour discuter avec l'AD mais il ne l'est pas ou vos tests ne sont pas bons...

    SharePoint est une application ASP.Net qui par défaut (ou classiquement pourrait on dire) utilise Active Directory pour gérer l'authentification des utilisateurs. On parle bien d'authentification et pas de synchronisation de profiles ni même de mise à jour des infos provenant de l'A.D. comme le nom de famille.

    Quand vous dites :

    "Par exemple, si on ajoute ou enlève des membres dans notre groupe AD : SharePoint n'est pas informé des changements."

    SharePoint n'a pas à être informé des changements ! puisqu'à chaque authentification d'utilisateurs le serveur sharepoint interroge le controleur de domaine pour valider les credentiaux fournis et si ils sont bon renvoi un cookie d'authen asp.net tout ce qu'il y a de plus classique... 

    Donc si vous utilisez un groupe A.D., et que l'un des membres de ce groupe tente de s'authentifier sur votre sharepoint, que ce dernier ne trouve pas l'utilisateur directement, alors il va vérifier auprès du contrôleur de domaine si l'utilisateur fait partie de l'un des groupes A.D. positionné dans les droits.

    En clair il n'y a pas de synchro à faire, puisque l'authentification est validée à chaque fois via le Controleur de domaine....

    Bref chez moi ça marche parfaitement, j'ajoute ou j'enlève un utilisateur d'un groupe A.D., mon site sharepoint utilise uniquement ce groupe A.D. pour donner accès, et l'utilisateur n'a bien accès que quand il fait partie du groupe.

    Question subsidiaire qui pourrias peut etre expliquer un début de piste, vous avez configuré votre sharepoint pour faire du NTLM ou du Kerberos ?



    Blog Sharepoint : www.paslatek.net Twitter : @LimozinLionel

    mardi 22 janvier 2013 14:20
  • Bonjour Lionel,

    Merci d'avoir pris le temps de nous répondre.

    Votre commentaire me rassure déjà sur un point : cela devrait fonctionner sans aucune action de notre part.

    Le phénomène "étrange" de l'histoire c'est que de toute évidence la communication avec l'AD fonctionne bien puisque si je décide de créer un groupe de sécurité global dans mon AD, si je lui ajoute quelques membres et si en suivant, dans les autorisations de site de SharePoint je recherche mon nouveau groupe : je le trouve.

    •  je peux lui accorder les droits que je souhaite.
    • En suivant si je vérifie les autorisations des utilisateurs membres du groupe : tout est correct.

    Le problème se pose uniquement à partir de l'étape suivante :

    Si j'ai besoin d'ajouter/enlever un nouveau membre au groupe que j'ai déjà affecté à des autorisations de site dans SharePoint :

    • Les changements ne sont pas visibles... Même après quelques heures de patience...

    Pour être complètement exhaustif, souvent le lendemain du jour où les modifications ont été réalisées dans l'AD, on parvient à les vérifier dans SharePoint.

    • C'est ce qui nous faisait penser que sur SharePoint Fundation il devait existe un mécanisme qui réalise une synchro à un moment que nous ne maitrisons pas ? Mais nous n'avons trouvé aucun job correspondant.

    Un problème de paramétrage sur notre environnement SharePoint Fundation ?

    • Je dois avouer que c'est la solution que je préfèrerai.

    Pour répondre à votre question subsidiaire, nous sommes configurés en mode NTLM et non pas Kerberos.

    Je me suis déjà demandé si le fait de passer en mode Kerberos ne corrigerait pas nos problèmes mais je dois avouer que je ne maitrise pas exactemement l'impact que pourrait avoir ce changement sur l'ensemble des sites développés et mis à disposition sur notre environnement SharePoint Fundation.

    Qu'en pensez-vous ?

    Cordialement.

    David.

    mardi 22 janvier 2013 14:54
  • Bonjour,

    Merci d'avoir pris le temps de nous répondre.

    Le premier script Powershell confirme bien que la synchro fonctionne.

    Notre équipe de dev avait déjà trouvé le lien que vous nous proposez et l'avait testé.

    Nous parvenons bien à synchroniser les noms (et toutes les infos souhaitées) de l'AD vers SharePoint.

    Mais par contre, cela n'affecte pas, ou alors on ne comprend pas comment, la liste des membres d'un groupe de sécurité global de l'AD.

    Merci d'avance pour votre aide.

    David.

    mardi 22 janvier 2013 14:58
  • Pour le coup votre réponse me fait douter d'avoir bien compris votre problème....

    J'ai l'impression que vous cherchez à voir dans sharepoint les membres d'un groupe windows. 

    Alors j'ai 2 questions :

    - Vous accordez les autorisations d'accès au groupe windows uniquement dans SharePoint ou bien aux membres de ce groupe en "explorant" le contenu de ce groupe ?

    - lorsque qu'un nouvel utilisateur est ajouté au groupe windows (ce dernier ayant des droits d'accès sur le site sharepoint) je veux bien croire que vous ne le retrouviez pas directement dans la partie "autorisations de sites" , mais ce qui est sur ce qu'il doit avoir accès, ce n'est pas le cas ?

    Pour ce qui est de Kerberos, je dirais plutôt que c'est le contraire, c'est ce mode qiui peut poser des soucis :p)


    Blog Sharepoint : www.paslatek.net Twitter : @LimozinLionel

    mardi 22 janvier 2013 15:06
  • Que c'est bon de ne plus se sentir seuls pour ce problème...

    Réponse 1 : Nous accordons les autorisations d'accès au groupe de sécurité défini dans l'AD (Ex : MonDomaine\MonGroupe)

    Réponse 2 : Nous ne nous attendons pas à visualiser les utilisateurs du domaine dans les autorisations de site de SharePoint puisque nous gérons leurs autorisations via le groupe de sécurité AD qui les contient.

    Mais quand on constate des problèmes de droits d'accès pour des utilisateurs du domaine (qui sont membre d'un groupe du domaine pour lequel nous avons donné les autorisations nécessaires dans SharePoint) : nous lançons la fonction "Autorisation de sites" puis nous utilisons l'outils permettant de "Vérifier les autorisations" dans SharePoint afin de visualiser leurs droits.

    • Et c'est là que nous constatons qu'ils n'ont pas les autorisations pourtant accordées au groupe dont ils sont membres.

    Espérant avoir été plus clair.

    mardi 22 janvier 2013 15:21
  • Oui c'est très clair, et c'est comme ça que ça doit marcher.

    Donc comportement pas normal et très étrange...

    Pouvez vous faire le test suivant :

    enlever le groupe ds sharepoint, et le remettre aussitot (avec les même droits) et voir si à ce moment l'utilisateur membre de ce groupe obtient "enfin" les accès

    ?


    Blog Sharepoint : www.paslatek.net Twitter : @LimozinLionel

    mardi 22 janvier 2013 15:46
  • Quand le problème se produit, nous avons déjà essayé cette solution :

    • Supprimer le groupe AD dans les autorisations de site.
    • Puis de nouveau ajouter le même groupe AD.

    Cela n'a pas corrigé le problème.

    Je ne sais pas si cela a un rapport mais nous avons également remarqué le problème suivant.

    • Certains groupes AD ont été créés par erreur avec des espaces.
    • Lorsque ces groupes ont été ajoutés dans les autorisations de site de SharePoint leur nom comportait des espaces (ex MonDomaine\Societe _GROUPE_ACCESS_PUB
    • Nous avons renommé proprement ces groupes dans l'AD, mais vue de SharePoint, dans les autorisations de sites, si on supprime le nom du groupe inséré avec espace, puis si on essaye de l'ajouter de nouveau : on tombe encore avec le nom avec un espace...

    David.

    mardi 22 janvier 2013 16:57
  • C'est vraiment très très étrange....

    Surtout si la suppression du groupe puis son re ajout ne règle pas le problème.

    Même avec un groupe directement bien nommé (sans espaces) ?

    Autre question que suis obligé de poser même si elle peut paraître "idiote". Avez vous pu vérifier vous même le contenu du groupe A.D. ou passez vous par une tierce personne ? Si vous êtes dans le second cas, comme dirait un certain Harbar, demandez une capture d’écran du contenu du groupe....


    Blog Sharepoint : www.paslatek.net Twitter : @LimozinLionel

    mercredi 23 janvier 2013 16:53
  • Bonsoir

    Franchement je pense que dans la série "questions idiotes", on s'en est posé pas mal en interne...

    J'ai un accès Administrateur domaine sur la console de gestion de l'AD et j'ai donc un accès direct aux contenus et à la gestion des groupes dans notre AD.

    Comme nos problèmes semblaient assez lié à des groupes ayant fait l'objet d'un renommage dans l'AD, nous en avons créé de nouveau et revu toutes les autorisations de sites correspondantes (travail long et fastidieux)

    A priori nos équipes de développement ont également fait évoluer une partie de leur code pour changer la récupération de certaines données de l'AD.

    Sur les nouveaux groupes créés "proprement", tout semble de nouveau fonctionner correctement... Il faut parfois patienter un bon moment avant que l'utilisateur n'ait accès aux droits qui lui ont été accordés mais cela fini par fonctionner (temps de réplications entre les différents AD du domaine ?)

    Impossible de tester tous les comptes utilisateurs alors on sera fixé demain pour savoir si tout est rentré dans l'ordre.

    Je vous tiendrai informé.

    Encore merci pour votre aide.

    David.

    mercredi 23 janvier 2013 18:39
  • on restera tout de même sur un flou concernant la raison du non fonctionnement, mais comme le dit notre amis "pragmatisme" l'essentiel c'est que tout fonctionne !

    Blog Sharepoint : www.paslatek.net Twitter : @LimozinLionel

    jeudi 24 janvier 2013 08:34
  • J'ai le même soucis que vous mais je ne peux pas recréer les groupes dans L'AD car ceux-ci sont utilisés un peu partout (Serveur de fichier/ Exchange / applications métiers...)?

    Avez-vous trouvé une solution pour actualiser le nom des groupes dans Sharepoint ?

    Pour info j'ai un ADFS


    vendredi 7 août 2020 13:05