Gérer la synchronisation Active Directory dans Project Server 2007
Mis à jour: août 2008
Dernière rubrique modifiée : 2015-02-27
Les utilisateurs et les ressources de Project Server peuvent être synchronisés avec les utilisateurs du service d’annuaire Active Directory sur plusieurs domaines et forêts. Cette fonctionnalité aide les administrateurs à des tâches fastidieuses, comme ajouter de grandes quantités d’utilisateurs, mettre à jour les métadonnées des utilisateurs telles que l’adresse de messagerie, et désactiver les utilisateurs qui n’ont plus besoin d’accéder au système. La synchronisation Active Directory peut être effectuée manuellement ou de manière planifiée. Lorsque la synchronisation Active Directory se produit, seules les données Project Server sont modifiées. Les données Active Directory ne sont jamais modifiées, uniquement interrogées.
Propriétés d’utilisateur/ressource Project Server mises à jour lors de la synchronisation
Lorsque la synchronisation se produit, Project Server 2007 met à jour les propriétés d’utilisateur/ressource Project Server suivantes à l’aide des champs de métadonnées de l’utilisateur Active Directory spécifiques :
| Propriété d’utilisateur Active Directory | Propriété d’utilisateur/ressource Project Server | ||
|---|---|---|---|
ADGUID (UserObject.objectGUID) |
Stockée dans la base de données Project Server publiée (champ WRES_AD_GUID de la table MSP_RESOURCES). Cette propriété n’est pas visible dans l’interface utilisateur de Project Web Access. |
||
Compte d’utilisateur Windows (domaine\nom_compte_sAM) |
Compte d’utilisateur Windows |
||
Nom complet (UserObject.displayName) |
Nom d’affichage/Nom de ressource |
||
Adresse de messagerie (UserObject.mail) |
Adresse de messagerie |
||
Département (UserObject.department) |
Groupe (propriété de ressource uniquement)
|
Vous pouvez personnaliser la synchronisation Active Directory pour qu’elle effectue un mappage des champs de métadonnées supplémentaires à l’aide de gestionnaires côté serveur. Pour plus d’informations sur les gestionnaires côté serveur, voir Écriture et débogage de gestionnaires d’événements pour Project Server 2007 (en anglais) (https://go.microsoft.com/fwlink/?linkid=126633\&clcid=0x40C) (en anglais) dans la Bibliothèque en ligne MSDN.
Des champs Active Directory supplémentaires peuvent être mappés à des champs personnalisées de ressources via l’utilitaire de synchronisation Active Directory/Ressources de Project Server 2007 (en anglais) (https://go.microsoft.com/fwlink/?linkid=126634\&clcid=0x40C) (en anglais) qui est disponible via CodePlex.
.gif "Note") Remarque : |
|---|
| Microsoft n’effectue pas de contrôle, d’examen ni de révision et ne recommande pas et ne distribue pas les projets externes sur le site CodePlex. Vous utilisez ces projets en connaissance de cause. Microsoft héberge le site CodePlex uniquement comme site Web de stockage, en tant que service fourni à la communauté des développeurs. |
Pratiques recommandées pour la synchronisation Active Directory
Ci-dessous les méthodes que Microsoft recommande en matière de gestion de la synchronisation Active Directory dans Project Server 2007 :
Créez des groupes Active Directory spécifiques qui correspondent à chaque groupe de sécurité Project Server et à la liste des ressources d’entreprise Project Server. Donnez par exemple aux nouveaux groupes Active Directory des noms tels que « Project Server — ERP », « Project Server — Responsables de projet », « Project Server — Direction ». Pour une meilleure organisation, imbriquez les groupes Active Directory existants à l’intérieur de ces groupes.
Commencez toujours par synchroniser la liste des ressources d’entreprise, puis synchronisez les groupes de sécurité Project Server. Cela garantit que les propriétés des ressources d’entreprise sont configurées correctement.
Planifiez la synchronisation de façon à répondre au mieux à vos exigences professionnels. Si de nouveaux utilisateurs sont fréquemment ajoutés ou si des utilisateurs changent de position dans votre organisation, il vous est possible de planifier la synchronisation pour qu’elle soit effectuée quotidiennement. Sinon, vous pouvez planifier une synchronisation hebdomadaire. Au titre des meilleures pratiques, planifiez toujours la synchronisation de façon à ce qu’elle ait lieu pendant les heures de fermeture ou les heures creuses. Ceci est recommandé, car la synchronisation provoque une resynchronisation des autorisations avec Windows SharePoint Services, ce qui fait que tous les utilisateurs perdent temporairement l’accès au site.
Résolvez les problèmes de synchronisation en examinant le journal des événements de l’application sur le serveur d’applications de la batterie de serveurs. Vous pouvez aussi utiliser les journaux du Service de journalisation unifiée (ULS, Unified Logging Service) pour obtenir plus de détails sur les problèmes de synchronisation d’Active Directory (par exemple, le journal ULS contiendra des entrées DEADLOCK si un blocage d’utilisateur s’est produit – consultez les mises en garde qui suivent). Vous pouvez configurer les paramètres du journal ULS dans le site Web Administration centrale de SharePoint pour obtenir davantage de détails sur les événements Active Directory que vous voulez capturer. Ces paramètres peuvent être configurés dans l’onglet Opérations de la page Journalisation des diagnostics. Dans cette page, vous pouvez configurer les paramètres de journalisation ULS de façon à capturer seulement les informations de synchronisation d’Active Directory en réglant la Limitation des événements sur la catégorie Project Server - Synchronisation Active Directory. Réglez également Événement le moins critique à enregistrer dans le journal de suivi sur Prolixe. Pour plus d’informations sur la configuration des options de journalisation, voir Configurer la journalisation des diagnostics (Project Server).
.gif "Caution")
Attention :Dans certaines circonstances, la synchronisation des utilisateurs et des espaces de travail Project Server avec Active Directory peut provoquer une situation de « blocage » ; les utilisateurs ne peuvent plus accéder au site PWA ou à leurs espaces de travail respectifs. Ceci provoque l’échec des travaux de synchronisation des utilisateurs et l’échec de tout ou partie de la synchronisation des autorisations du site. Il est possible que les utilisateurs ne puissent pas se connecter à PWA ou à leurs espaces de travail.
Un blocage peut se produire si le processus de synchronisation des utilisateurs dure trop longtemps. Ceci est dû à la répétition du travail de synchronisation pour un grand nombre d’utilisateurs et d’espaces de travail, par exemple lorsque des modifications importantes sont apportées aux appartenances. Un travail de synchronisation qui reste longtemps dans la file d’attente accroît le risque que d’autres travaux démarrent intempestivement, ce qui peut également provoquer un blocage.
Pour réduire le risque de blocage, vous pouvez effectuer les actions suivantes :Avant de procéder à des modifications importantes au niveau des appartenances de groupe, vérifiez qu’il n’y a pas de travaux du nom de « Synchronisation utilisateur pour le site racine d’application de Project Web Access et les espaces de travail WSS de Project » actuellement en cours de traitement ou en attente de traitement dans la file d’attente.
Exécutez l’outil de synchronisation des espaces de travail Project Server (en anglais) disponible sur le site CodePlex (https://go.microsoft.com/fwlink/?linkid=147394&clcid=0x40C) (en anglais). L’outil contrôle ce qui doit être synchronisé lorsque le travail démarre : PWA et espaces de travail, espaces de travail uniquement, PWA uniquement ou pas de synchronisation pour PWA ni pour les espaces de travail. Il permet aussi à l’administrateur d’effectuer la synchronisation des utilisateurs pendant les heures de fermeture ou les heures creuses, lorsque le serveur est moins sollicité.
Notez que l’outil de synchronisation des espaces de travail Project Server n’accélère pas le processus de synchronisation au-delà de la normale. Cependant, la possibilité de synchroniser les utilisateurs lorsque le serveur est moins sollicité réduit le risque d’échec de la synchronisation.
Vérifiez que le compte spécifié pour le fournisseur de services partagés de l’application Project Server a l’autorisation de lire dans tous les domaines et forêts Active Directory utilisés dans la synchronisation. Notez que toutes les synchronisations Active Directory utilisent ce compte, même si elles sont exécutées manuellement via un autre compte d’utilisateur.
Les caractères séparateurs de liste spécifiés par le serveur dans un nom complet Active Directory peuvent être remplacés dans Project Web Access lors du processus de synchronisation. Dans Office Project Server 2007, le caractère séparateur de liste est défini comme étant la virgule (« , »). Si un nom complet Active Directory contient une virgule, elle sera remplacée par un point-virgule (« ; »). Ceci peut être un problème dans les cas où des virgules sont fréquemment utilisées dans les noms complets.
Si vous utilisez des champs personnalisés de ressource, vérifiez que ces champs ne sont pas obligatoires. Si c’est le cas, et qu’ils ne contiennent pas de valeur, la synchronisation Active Directory peut échouer, car elle ne sait pas quelle valeur placer dans le champ obligatoire. Vous pouvez désactiver l’attribut « obligatoire » pour ces champs. Vous pouvez aussi implémenter un gestionnaire d’événements côté serveur pour remplir les champs obligatoires lors de la synchronisation. Pour plus d’informations sur les gestionnaires côté serveur, voir Écriture et débogage de gestionnaires d’événements pour Project Server 2007 (en anglais) (https://go.microsoft.com/fwlink/?linkid=126633\&clcid=0x40C) (en anglais) dans la Bibliothèque en ligne MSDN.
Lorsque vous ajoutez des utilisateurs à Project Server via Project Web Access, utilisez bien le même nom complet (ObjetUtilisateur.NomAffichage) pour l’utilisateur que celui qui est utilisé pour cet utilisateur dans Active Directory. Si la synchronisation Active Directory est exécutée et que les noms complets ne coïncident pas, le conflit entre ces noms aboutira à des échecs partiels et le compte ne sera pas mis à jour.
Configuration requise
Les exigences suivantes doivent être satisfaites pour permettre l’exécution des procédures relatives à cette tâche :
Accès à Project Server via Project Web Access avec un compte doté des paramètres globaux Gérer les paramètres Active Directory et Gérer les utilisateurs et les groupes
Accès en lecture (pour le compte de service SSP pour l’instance Project Server) à tous les groupes et comptes d’utilisateurs Active Directory impliqués dans la synchronisation. Vous pouvez vérifier ce compte dans les propriétés du SSP sur la page Administration des services partagés du site Web Administration centrale de SharePoint.
Remarque :Pour plus d’informations sur le compte de service de fournisseur de services partagés, voir Planifier des comptes administratifs et de service (Project Server)
Pour gérer la synchronisation Active Directory dans Project Server 2007, vous pouvez effectuer les procédures suivantes. La synchronisation Active Directory peut être configurée pour la liste des ressources d’entreprise ou pour les groupes de sécurité Project Server. Les deux procédures ne dépendent pas l’une de l’autre.