Сопоставление удостоверений для миграции в SharePoint: сканирование удостоверений Active DirectorySharePoint Migration Identity Mapping: Active Directory Identity Scan

ОбзорOverview

Сканирование Active Directory будет искать все удостоверения Windows, обнаруженные в исходной среде SharePoint в Active Directory клиента.The Active Directory scan will look up any Windows identities that were found in the source SharePoint environment in the customer's Active Directory.

Если удостоверений Windows нет, это сканирование не будет выполнять никаких действий.If there are no Windows identities, this scan will not perform any work.

Эта оценочная проверка выполняется в два этапа:There are 2 distinct steps to this assessment scan:

  • Обнаружение доступных лесов Active Directory.Discover the Active Directory Forests that are available.

  • Подстановка удостоверений в Active Directory.Lookup the identities in Active Directory.

Обнаружение лесов Active DirectoryDiscover the Active Directory Forests

Мы нашли лес, к которому подключен сервер SharePoint.We find the forest the SharePoint server is connected to. Затем перечислите доверия, чтобы определить расположение всех доверенных лесов.We then enumerate trusts to locate all the trusted Forests. После обнаружения доверенных лесов мы перечислим все домены в лесах.Once we've found the trusted forests, we enumerate all the domains in the forests.

Этот процесс может запрашивать учетные данные, если пользователь, выполнивший вход в систему, не может прочитать запрошенный лес.This process may prompt for credentials if the currently logged on user does not have the ability to read the requested forest. Мы будем повторять подключения 3 раза, поэтому при вводе недопустимых учетных данных будет выполняться несколько попыток.We will retry connections 3 times, so if you enter invalid credentials there will be multiple attempts. Средство будет кэшировать учетные данные, введенные для текущего выполнения.The tool will cache the credentials entered for the current execution.

Поиск удостоверений в Active DirectoryLookup identities in Active Directory

После обнаружения лесов мы будем использовать кэшированные учетные данные для поиска пользователей и групп в Active Directory с идентификатором безопасности [SID].After we have discovered the forests, we will use the cached credentials to lookup users/groups in Active Directory using the Security Identifier [SID]. Эта информация не 100% требуется для сопоставления удостоверений.This information is not 100% needed for identity mapping. Однако если у вас есть удостоверения, помеченные как "не совпадают" или "Партиалматч", эта информация полезна для отслеживания дополнительной информации об удостоверении.However, if you have identities flagged as NoMatch or PartialMatch, this information is useful to track down additional information for the identity. Например, у вас есть пользователь, который отображается как активный в SharePoint, но отображается как отключенный в Active Directory.For example, you have a user that is showing as Active in SharePoint, but is showing as Disabled in Active Directory. Предполагается, что пользователь с несопоставленным, так как он, скорее всего, не будет синк'ед в Azure Active Directory.Seeing this user with NoMatch is expected as the user is not likely to be sync'ed to Azure Active Directory.

СценарииScenarios

Двухстороннее отношение доверия между лесом SharePoint присоединяется к лесам пользователя.Two-way trust between the forest SharePoint is joined to and the user forests. Пользователи подключаются к компьютеру SharePoint с помощью учетной записи домена.Users logs into the SharePoint machine using a domain account. В этом сценарии, скорее всего, не будет выдаваться приглашение на получение учетных данных домена, так как его учетные данные должны быть доступны для чтения связанных доменов.In this scenario, the operator is unlikely to be prompted as their domain credentials should be able to read the associated domains.

Одностороннее отношение доверия между лесом SharePoint присоединяется к лесам пользователя.One-way trust between the forest SharePoint is joined to and the user forests. Все леса пользователя доверяют друг другу.All the user forests trust each other. В этом сценарии пользователь выполняет вход в SharePoint в качестве учетной записи в лесу SharePoint.In this scenario, the user logs into SharePoint as an account in the SharePoint forest. При запросе лесов мы будем запрашивать учетные данные для чтения первого леса пользователя.When querying for Forests, we will prompt for credentials to read the first user Forest. Мы будем кэшировать эти учетные данные и использовать их для остальных лесов.We will cache those credentials and use them for the remaining forests. В этом сценарии в операторе отображается один запрос на вход.In this scenario, the operator will see one logon prompt.

Одностороннее отношение доверия между лесом SharePoint присоединяется к лесам пользователя.One-way trust between the forest SharePoint is joined to and the user forests. Леса пользователей не могут доверять друг другу.The user forests do not trust each other. В этом сценарии пользователь выполняет вход в SharePoint в качестве учетной записи в лесу SharePoint.In this scenario, the user logs into SharePoint as an account in the SharePoint forest. При запросе лесов мы предоставим запрос для каждого леса.When querying for Forests, we will prompt for each forest. Если у вас есть 20 лесов пользователей, которые не доверяют друг другу, вы увидите 20 приглашений входа.If there are 20 user forests that don't trust each other you would expect to see 20 logon prompts.