Erteilen von AD DS-Berechtigungen für die Profilsynchronisierung (SharePoint Server 2010)

  • Artikel

 

Gilt für: SharePoint Server 2010

Letztes Änderungsdatum des Themas: 2011-06-15

In diesem Artikel werden Verfahren beschrieben, mit denen ein Administrator für Active Directory-Domänendienste (Active Directory Domain Services, AD DS) die Berechtigungen konfigurieren kann, die für die Synchronisierung von Profilinformationen mit Microsoft SharePoint Server 2010 benötigt werden. Im Abschnitt Planen von Kontoberechtigungen des Artikels "Planen der Profilsynchronisierung" wird erklärt, welche Berechtigungen in welchen Situationen erforderlich sind.

In diesem Artikel wird der Begriff "Synchronisierungskonto" für das Konto verwendet, dem Sie Berechtigungen erteilen. Das Synchronisierungskonto ist das Konto, über das SharePoint Server während der Profilsynchronisierung eine Verbindung zu AD DS herstellt.

Inhalt dieses Artikels

  • Erteilen der Berechtigung "Verzeichnisänderungen replizieren" für eine Domäne

  • Hinzufügen eines Kontos zur Gruppe "Prä-Windows 2000 kompatibler Zugriff"

  • Erteilen der Berechtigung "Verzeichnisänderungen replizieren" für den Container "cn=configuration"

  • Erteilen der Berechtigungen "Untergeordnete Objekte erstellen" und "Schreiben"

Erteilen der Berechtigung "Verzeichnisänderungen replizieren" für eine Domäne

Mit diesem Verfahren können Sie einem Konto die Berechtigung Verzeichnisänderungen replizieren für eine Domäne erteilen.

Mit der Berechtigung Verzeichnisänderungen replizieren kann das Synchronisierungskonto AD DS-Objekte lesen sowie AD DS-Objekte ermitteln, die in der Domäne geändert wurden. Diese Berechtigung ermöglicht es einem Konto nicht, AD DS-Objekte zu erstellen, zu ändern oder zu löschen.

So erteilen Sie die Berechtigung Verzeichnisänderungen replizieren für eine Domäne

  1. Klicken Sie auf dem Domänencontroller im Startmenü auf Verwaltung , und klicken Sie dann auf Active Directory-Benutzer und -Computer.

  2. Klicken Sie unter Active Directory-Benutzer und -Computer mit der rechten Maustaste auf die Domäne, und klicken Sie auf Steuerung delegieren.

  3. Klicken Sie auf der ersten Seite des Assistenten zum Zuweisen der Objektverwaltung auf Weiter.

  4. Klicken Sie auf der Seite Benutzer oder Gruppen auf Hinzufügen.

  5. Geben Sie den Namen des Synchronisierungskontos ein, und klicken Sie dann auf OK.

  6. Klicken Sie auf Weiter.

  7. Wählen Sie auf der Seite Zuzuweisende Aufgaben die Option Benutzerdefinierte Aufgaben zum Zuweisen erstellen aus, und klicken Sie auf Weiter.

  8. Wählen Sie auf der Seite Active Directory-Objekttyp die Option Diesem Ordner, bestehenden Objekten in diesem Ordner und neuen Objekte in diesem Ordner aus, und klicken Sie auf Weiter.

  9. Wählen Sie auf der Seite Berechtigungen im Feld Berechtigungen die Option Verzeichnisänderungen replizieren aus, und klicken Sie auf Weiter.

  10. Klicken Sie auf Fertig stellen.

Hinzufügen eines Kontos zur Gruppe "Prä-Windows 2000 kompatibler Zugriff"

Mit diesem Verfahren können Sie der Gruppe Prä-Windows 2000 kompatibler Zugriff ein Konto hinzufügen.

So fügen Sie der Gruppe Prä-Windows 2000 kompatibler Zugriff ein Konto hinzu

  1. Klicken Sie auf dem Domänencontroller im Startmenü auf Verwaltung , und klicken Sie dann auf Active Directory-Benutzer und -Computer.

  2. Erweitern Sie unter Active Directory-Benutzer und -Computer die Domäne, erweitern Sie Vordefiniert, klicken Sie mit der rechten Maustaste auf Prä-Windows 2000 kompatibler Zugriff, und klicken Sie dann auf Eigenschaften.

  3. Klicken Sie im Dialogfeld Eigenschaften auf die Registerkarte Mitglieder, und klicken Sie auf Hinzufügen.

  4. Geben Sie den Namen des Synchronisierungskontos ein, und klicken Sie dann auf OK.

  5. Klicken Sie auf OK.

Erteilen der Berechtigung "Verzeichnisänderungen replizieren" für den Container "cn=configuration"

Mit diesem Verfahren können Sie einem Konto die Berechtigung Verzeichnisänderungen replizieren für den Container cn=configuration erteilen.

So erteilen Sie die Berechtigung Verzeichnisänderungen replizieren für den Container cn=configuration

  1. Klicken Sie auf dem Domänencontroller im Startmenü auf Ausführen, geben Sie adsiedit.msc ein, und klicken Sie auf OK.

  2. Wenn der Knoten Konfiguration noch nicht vorhanden ist, gehen Sie folgendermaßen vor:

    1. Klicken Sie im Navigationsbereich auf ADSI Edit.

    2. Klicken Sie im Menü Action (Aktion) auf Connect to (Verbindung herstellen mit).

    3. Klicken Sie im Bereich Connection Point (Verbindungspunkt) im Dialogfeld Connection Settings (Verbindungseinstellungen) auf Select a well know Naming Context (Einen allgemein bekannten Namenskontext auswählen), wählen Sie aus der Dropdownliste Configuration (Konfiguration) aus, und klicken Sie auf OK.

  3. Erweitern Sie den Knoten Konfiguration, klicken Sie mit der rechten Maustaste auf den Knoten CN=Configuration..., und klicken Sie auf Eigenschaften.

  4. Klicken Sie im Dialogfeld Eigenschaften auf die Registerkarte Sicherheit.

  5. Klicken Sie im Abschnitt Gruppen- oder Benutzernamen auf Hinzufügen.

  6. Geben Sie den Namen des Synchronisierungskontos ein, und klicken Sie dann auf OK.

  7. Wählen Sie im Abschnitt Gruppen- oder Benutzernamen das Synchronisierungskonto aus.

  8. Aktivieren Sie im Abschnitt Berechtigungen das Kontrollkästchen Zulassen neben der Berechtigung Verzeichnisänderungen replizieren, und klicken Sie auf OK.

Erteilen der Berechtigungen "Untergeordnete Objekte erstellen" und "Schreiben"

Mit diesem Verfahren können Sie einem Konto die Berechtigungen Untergeordnete Objekte erstellen und Schreiben erteilen.

So erteilen Sie die Berechtigungen Untergeordnete Objekte erstellen und Schreiben

  1. Klicken Sie auf dem Domänencontroller im Startmenü auf Ausführen, geben Sie adsiedit.msc ein, und klicken Sie auf OK.

  2. Wenn der Knoten Standardnamenskontext noch nicht vorhanden ist, gehen Sie folgendermaßen vor:

    1. Klicken Sie im Navigationsbereich auf ADSI Edit.

    2. Klicken Sie im Menü Action (Aktion) auf Connect to (Verbindung herstellen mit).

    3. Klicken Sie im Bereich Connection Point (Verbindungspunkt) im Dialogfeld Connection Settings (Verbindungseinstellungen) auf Select a well know Naming Context (Einen allgemein bekannten Namenskontext auswählen), wählen Sie aus der Dropdownliste Default naming context (Standardnamenskontext) aus, und klicken Sie auf OK.

  3. Erweitern Sie im Navigationsbereich des Fensters ADSI Edit die Domäne, erweitern Sie den Knoten DC=..., klicken Sie mit der rechten Maustaste auf die Organisationseinheit, der Sie Berechtigungen erteilen möchten, und klicken Sie auf Properties (Eigenschaften).

  4. Klicken Sie auf der Registerkarte Security (Sicherheit) im Dialogfeld Properties (Eigenschaften) auf Advanced (Erweitert).

  5. Wählen Sie im Dialogfeld Advanced Security Settings (Erweiterte Sicherheitseinstellungen) die Zeile aus, deren Wert in der Spalte Name das Synchronisierungskonto darstellt und deren Wert in der Spalte Inherited From (Geerbt von) <not inherited> (nicht geerbt) ist, und klicken Sie auf Edit (Bearbeiten). Wenn diese Zeile nicht vorhanden ist, klicken Sie auf Hinzufügen, klicken Sie auf Locations (Speicherorte), wählen Sie Entire Directory (Gesamtes Verzeichnis) aus, klicken Sie auf OK, geben Sie das Synchronisierungskonto ein, und klicken Sie auf OK. Auf diese Weise wird die entsprechende Zeile hinzugefügt, die Sie jetzt auswählen können.

    Hinweis

    Wählen Sie nicht die Zeile für das Synchronisierungskonto aus, die von einem anderen Speicherort geerbt wurde. Auf diese Weise könnten Sie die Berechtigungen nur der Organisationseinheit zuweisen und nicht den Inhalten der Organisationseinheit.

  6. Wählen Sie im Dialogfeld Permission Entry (Berechtigungseintrag) die Option This object and all descendant objects (Dieses und alle untergeordneten Objekte) aus dem Feld Apply to (Anwenden auf) aus, aktivieren Sie das Kontrollkästchen Allow (Zulassen) in den Zeilen für die Eigenschaften Write all properties (Alle Eigenschaften schreiben) und Create all child objects (Alle untergeordneten Objekte erstellen), und klicken Sie auf OK.

  7. Klicken Sie auf OK, um das Dialogfeld Erweiterte Sicherheitseinstellungen zu schließen.

  8. Klicken Sie auf OK, um das Dialogfeld Eigenschaften zu schließen.

  9. Wiederholen Sie die Schritte 3 bis 8, wenn Sie Berechtigungen für weitere Organisationseinheiten erteilen möchten.

See Also

Concepts

Planen der Profilsynchronisierung (SharePoint Server 2010)
Konfigurieren der Profilsynchronisierung (SharePoint Server 2010)