在 SharePoint Server 2013 中同步用户和组配置文件
适用于:
2013 
2016 2019 订阅版 SharePoint in Microsoft 365
对配置文件同步进行配置是一个涉及很多步骤的过程。 本文将该过程分为几个较短的阶段,以便您可以查看进度并减少出现错误时必须回退的步骤数。 对配置文件同步进行配置涉及四个阶段。 根据您的情况,您可能不必执行所有阶段。 本文还包含阶段 0,它包含对配置文件同步进行配置之前配置所需先决条件的说明。
SharePoint Server 2013 使用用户配置文件和组通过服务器间身份验证,来代表用户相互之间进行访问和请求资源。 有关服务器到服务器身份验证的详细信息,请参阅 SharePoint Server 中的服务器到服务器身份验证和用户配置文件。
重要
本文仅适用于 SharePoint Server 2013。
开始之前
在开始此操作之前,请查看有关先决条件的以下信息:
对配置文件同步进行配置时,您需要一些信息来回答用户界面中的问题。 您还需要具有适当权限的帐户,以及完成了部分配置的 SharePoint Server 2013 服务器场。 本节中的各小节解释对配置文件同步进行配置之前必须满足的先决条件。
收集信息
执行本文中的过程之前,应先填写 SharePoint Server 2013 的用户配置文件属性和配置文件同步计划工作表。 执行本文中的过程时需要使用在工作表中记录的信息。
连接规划工作表:包含有关将创建的每个配置文件同步连接的详细信息。 Plan profile synchronization for SharePoint Server 2013 一文包含填写工作表的说明。
用户配置文件属性工作表:确定用户配置文件属性以及这些属性如何映射到外部数据源。 在 SharePoint Server 中规划用户配置文件 一文介绍了如何完成大部分工作表,而 SharePoint Server 2013 计划配置文件同步 一文包含有关如何添加属性映射信息的说明。
配置文件同步规划工作表:收集创建 User Profile Service 应用程序及其系统必备组件所需的信息。 如果服务器场已包含 User Profile Service 应用程序,则可以忽略此工作表。
您将需要知道同步服务器的名称。 同步服务器是将运行用户配置文件同步服务的服务器。 SharePoint Server 2013 计划配置文件同步的“计划同步服务器”部分包含有关如何选择同步服务器的指南。
授予帐户权限
若要对配置文件同步进行配置,您需要知道服务器场帐户和服务器场帐户的密码,还需要将与其同步的每个目录服务的同步帐户。 SharePoint Server 2013 计划配置文件同步的“计划帐户权限”部分介绍了每个帐户所需的权限。 如果帐户没有正确的权限,则您可能在进行到配置过程的某一阶段时才会发现权限是错误的。
注意
不正确的权限是导致对配置文件同步进行配置时出现错误的最常见原因。
安装先决条件
若要设置配置文件同步,您需要在服务器场配置中安装 SharePoint Server 2013。
您必须具有完全安装的 SQL Server,而不是 Express 版本。 如果您按照在包含内置数据库的单个服务器上安装 SharePoint 2013 中的以下说明安装 SharePoint Server 2013,则配置文件同步将不会运行。
阶段 0:配置服务器场
在此阶段,将配置用于同步配置文件的基础结构。
此阶段涉及以下任务:
[使用 PowerShell 为用户配置文件同步启用 NetBIOS 域名] (configure-profile-synchronization.md# Proc)
若要执行此阶段的任务,您必须是场管理员 SharePoint 组的成员,也是运行 SharePoint Server 2013 的计算机上的 Administrators 组的成员。
创建 Web 应用程序以承载“我的网站”
在此过程中,需要创建我的网站驻留的 Web 应用程序。 建议将我的网站置于单独的 Web 应用程序中,尽管 Web 应用程序可能位于与其他协作网站共享的应用程序池中,或者可能位于单独的应用程序池中,但同时位于共享的 IIS 网站中。 有关 SharePoint Server 2013 网站、应用程序池和 IIS 网站的详细信息,请参阅Architecture design for SharePoint 2013 IT pros(面向 IT 专业人员的 SharePoint 2013 体系结构设计)。 有关如何创建 Web 应用程序的更详细说明,请参阅 在 SharePoint Server 中创建 Web 应用程序。
创建 Web 应用程序的具体步骤
- 确认执行此过程的用户帐户拥有以下凭据:
执行此过程的用户帐户是服务器场管理员。
执行此过程的用户帐户是运行 SharePoint Server 2013 的计算机上的 Administrators 组的成员。
在管理中心的“应用程序管理”部分,单击“管理 Web 应用程序”。
在功能区上,单击"新建"。
在"新建 Web 应用程序"页的"身份验证"部分,选择将用于此 Web 应用程序的身份验证模式。
在"IIS 网站"部分,可以通过选择以下两个选项之一来配置新 Web 应用程序的设置(请参阅"配置文件同步规划"工作表):
单击"使用现有 IIS 网站",然后选择要安装新 Web 应用程序的网站。
单击"新建 IIS 网站",然后在"名称"框中键入网站名称。
您还可以提供端口号、主机头或新 IIS 网站的路径。
在"安全性配置"部分,选择身份验证提供程序、是否允许匿名访问以及是否使用安全套接字层 (SSL)。
在"应用程序池"部分,执行下列操作之一:
如果我的网站应用程序池(请参阅"配置文件同步规划"工作表)是现有应用程序池,请单击"使用现有应用程序池",然后从下拉菜单中选择我的网站应用程序池。
如果我的网站应用程序池(请参阅"配置文件同步规划"工作表)是新应用程序池,请单击"新建应用程序池",键入我的网站应用程序池的名称,然后选择应用程序池运行时所用的帐户(请参阅"配置文件同步规划"工作表),或者新建一个管理帐户以便应用程序池运行时使用。
在"数据库名称和验证"部分,选择数据库服务器、数据库名称和新 Web 应用程序的身份验证方法。
如果使用数据库镜像,请在"故障转移服务器"部分的"故障转移数据库服务器"框中,键入要与内容数据库关联的特定故障转移数据库服务器的名称。
在"服务应用程序连接"部分,选择将供 Web 应用程序使用的服务应用程序连接。
在"客户体验改善计划"部分,单击"是"或"否"。
单击"确定"创建新的 Web 应用程序。
显示"已创建应用程序"页时,单击"确定"。
在配置文件同步规划工作表的"'我的网站'Web 应用程序"行中,输入 Web 应用程序的名称。 稍后将需要此信息。
为我的网站创建管理路径
如果希望“我的网站”主机和用户的“我的网站”位于尚未具有托管路径的 URL 上,请使用 在 SharePoint Server 中定义托管路径 中的过程,在以前创建的“我的网站”Web 应用程序中创建“我的网站”托管路径。 在大多数情况下,现有管理路径已经足够。
创建“我的网站宿主”网站集
在此过程中,将创建承载用户的我的网站的网站集。 有关如何创建网站集的更详细说明,请参阅 在 SharePoint Server 中创建网站集。
创建"我的网站宿主"网站集的具体步骤
- 确认执行此过程的用户帐户拥有以下凭据:
执行此过程的用户帐户是服务器场管理员
执行此过程的用户帐户是运行 SharePoint Server 2013 的计算机上的 Administrators 组的成员。
在管理中心的“应用程序管理”部分,单击“创建网站集”。
在"创建网站集"页的"Web 应用程序"部分,选择我的网站 Web 应用程序(请参阅"配置文件同步规划"工作表)。
在"标题和说明"部分,键入网站集的标题和说明。
In the Web Site Address section, select the path of the URL for the My Site host. In most cases, you can use the root directory (/).
在"模板选择"部分,单击"企业"选项卡,然后单击"我的网站宿主"。
In the Primary Site Collection Administrator section, type the user name (in the form <DOMAIN>\ <user name>) for the user who will be the site collection administrator.
在"网站集第二管理员"部分,键入网站集的第二管理员的用户名。
如果要使用配额来管理网站集的存储,请在"配额模板"部分,单击"选择配额模板"列表中的模板。
单击“确定”。
创建我的网站宿主网站集后将显示"首要网站创建成功"页。 在"配置文件同步规划"工作表的"我的网站宿主网站集 URL"行中,输入此 URL。 尽管可以单击链接来浏览到网站集的根目录,但这样做会导致错误,因为无法加载用户配置文件。 此行为是预期行为;此时,还没有导入用户配置文件。
创建 User Profile Service 应用程序
在此过程中,将创建用于管理配置文件同步的 User Profile Service 应用程序。
有关如何创建 User Profile Service 应用程序的更详细的说明,请参阅创建 User Profile Service 应用程序。
创建用户配置文件服务应用程序
- 确认执行此过程的用户帐户拥有以下凭据:
执行此过程的用户帐户是服务器场管理员
执行此过程的用户帐户是运行 SharePoint Server 2013 的计算机上的 Administrators 组的成员。
在管理中心的"应用程序管理"部分,单击"管理服务应用程序"。
在"管理服务应用程序"页上的功能区中,单击"新建",然后单击"User Profile Service 应用程序"。
在"名称"部分,键入 User Profile Service 应用程序的名称(请参阅"配置文件同步规划"工作表)。
在“ 应用程序池 ”部分中,选择 User Profile 服务应用程序将在 (中运行的应用程序池(如果它) 存在),或创建新的应用程序池。 (请参阅配置文件同步规划工作表。)
接受配置文件数据库、同步数据库和社会性标签数据库的默认设置(除非您需要其他名称),并指定故障转移服务器(如果要使用它们)。
在"配置文件同步实例"部分,选择同步服务器(请参阅"配置文件同步规划"工作表)。
在"我的网站宿主 URL"部分,输入在上一步骤中创建的我的网站宿主网站集 URL(请参阅"配置文件同步规划"工作表)。
在 “我的网站托管路径 ”部分中,输入路径的一部分,当追加到“我的网站”主机 URL 时,该部分将提供用户“我的网站”的路径, (请参阅配置文件同步规划工作表) 。 例如,如果“我的网站”主机 URL 为 http://server:12345/ ,并且你希望每个用户的“我的网站”位于 http://server:12345/personal/user-name,则为“我的网站”托管路径输入 /personal。 将自动创建您输入的管理路径。 使用您提供的名称的管理路径不必已存在。
在"网站命名格式"部分,选择命名方案。
在"默认代理组"部分,选择是否希望此 User Profile Service 的代理成为此服务器场上默认代理组的成员。
单击"创建"。
"创建新的 User Profile Service 应用程序"页显示"已成功创建配置文件服务应用程序"消息时,单击"确定"。
若要确认 User Profile Service 应用程序已经创建,请刷新"管理服务应用程序"页。 您应该看到两个条目,它们在"名称"列中的值是您为先前创建的 User Profile Service 应用程序提供的名称。 第一个条目是服务应用程序本身。 第二个条目是与服务应用程序的连接(即"代理")。
使用 PowerShell 为用户配置文件同步启用 NetBIOS 域名
如果您要与其同步的任何域的 NetBIOS 名称不同于它的完全限定域名,则必须在 User Profile Service 应用程序上启用 NetBIOS 域名。 如果所有 NetBIOS 名称都与域名相同,则可以跳过此过程。
使用 PowerShell 为用户配置文件同步启用 NetBIOS 域名
- 确认您具有以下成员身份:
SQL Server 实例上的 securityadmin 固定服务器角色。
要更新的所有数据库上的 db_owner 固定数据库角色。
运行 PowerShell cmdlet 的服务器上的 Administrators 组。
必须阅读 about_Execution_Policies。
管理员可以使用 Add-SPShellAdmin cmdlet,授予 SharePoint Server 2013 cmdlet 使用权限。
注意
[!注意] 如果您不具有这些权限,请联系您的安装管理员或 SQL Server 管理员来请求权限。 有关 PowerShell 权限的更多信息,请参阅权限和 Add-SPShellAdmin。
将以下代码粘贴到文本编辑器(如记事本)中:
-
$ServiceApps = Get-SPServiceApplication $UserProfileServiceApp = "" foreach ($sa in $ServiceApps) {if ($sa.DisplayName -eq "<UPSAName>") {$UserProfileServiceApp = $sa} } $UserProfileServiceApp.NetBIOSDomainNamesEnabled = 1 $UserProfileServiceApp.Update() 将 UPSAName> 替换为< User Profile 服务应用程序的名称。
保存该文件并添加 .ps1 扩展名,例如 EnableNetBIOS.ps1。
注意
可以使用其他文件名,但是必须将文件保存为扩展名为 .ps1 的 ANSI 编码文本文件。
启动 SharePoint 2013 命令行管理程序。
转到保存该文件的目录。
在 PowerShell 命令提示符处,键入以下命令:
& .\EnableNetBIOS.ps1
注意
[!注意] 我们建议您在执行命令行管理任务时使用 Windows PowerShell。 Stsadm 命令行工具已被弃用,仍然包含该工具是为了支持与之前产品版本的兼容性。
启动 User Profile Service
在此过程中,将启动 User Profile Service。
启动用户配置文件服务
- 确认执行此过程的用户帐户拥有以下凭据:
执行此过程的用户帐户是服务器场管理员
执行此过程的用户帐户是运行 SharePoint Server 2013 的计算机上的 Administrators 组的成员。
在管理中心的"系统设置"部分,单击"管理服务器上的服务"。
在"服务器上的服务"页的"服务器"框中,选择同步服务器(请参阅"配置文件同步规划"工作表)。
找到"服务"列值为"User Profile Service"的行。 如果“状态”列中的值为“已停止”,请单击“操作”列中的“启动”。
阶段 1:启动用户配置文件同步服务
在此阶段,将启动用户配置文件同步服务。
此阶段涉及以下任务:
若要执行此阶段的任务,您必须是场管理员 SharePoint 组的成员,也是运行 SharePoint Server 2013 的计算机上的 Administrators 组的成员。
启动用户配置文件同步服务
在此过程中,将启动用户配置文件同步服务。 用户配置文件同步服务与 Microsoft Forefront Identity Manager (FIM) 交互来与外部系统同步信息。
启动用户配置文件同步服务
- 确认执行此过程的用户帐户拥有以下凭据:
执行此过程的用户帐户是服务器场管理员
执行此过程的用户帐户是运行 SharePoint Server 2013 的计算机上的 Administrators 组的成员。
在管理中心的"系统设置"部分,单击"管理服务器上的服务"。
在"服务器上的服务"页的"服务器"框中,选择同步服务器。
找到"服务"列值为"用户配置文件同步服务"的行。 如果"状态"列中的值为"已停止",请单击"操作"列中的"启动"。
在"用户配置文件同步服务"页的"选择用户配置文件应用程序"部分,选择 User Profile Service 应用程序。
在"服务帐户名和密码"部分,已经选择了服务器场帐户。 在"密码"框中输入服务器场帐户的密码,然后在"确认密码"框中再次输入它。
单击“确定”。
"服务器上的服务"页显示用户配置文件同步服务的状态为"正在启动"。 启动用户配置文件同步服务时,SharePoint Server 2013 将预配 FIM 以参与同步。 这可能需要 10 分钟的时间。 若要确定用户配置文件同步服务是否已启动,请刷新"服务器上的服务"页。
如果用户配置文件同步服务没有启动,请确认服务器场帐户具有对同步服务器的必需权限。 有关需要哪些权限的详细信息,请参阅“规划配置文件同步”一文的规划帐户权限一节。
删除不必要的权限
启动用户配置文件同步服务后,对于日常操作来说,服务器场帐户不再需要是运行同步服务的计算机上 管理员 组的成员。 若要提高 SharePoint Server 2013 安装的安全性,请从运行同步服务的计算机上的管理员组中删除场帐户。 但是,在您执行用户配置文件应用程序的备份时,同步服务会再次设置用户配置文件应用程序。 在设置用户配置文件应用程序期间,服务器场帐户必须停止和启动同步服务。 为此,服务器场帐户必须是运行同步服务的计算机上 管理员 组的成员。 因此,在执行备份之前,请先将服务器场帐户添加到运行同步服务的计算机上的 管理员 组中。 备份完成运行后,您可以将服务器场帐户从 管理员 组中删除。
向服务器场帐户授予 Microsoft FIM 2010 的远程启用权限
在运行同步服务的服务器上,单击"开始"。
单击"运行",键入"wmimgmt.msc",然后单击"确定"。
右键单击"WMI 控制",然后单击"属性"。
在 “WMI 控件属性 ”对话框中,单击“ 安全性 ”选项卡。
展开"Root"列表,然后选择 Microsoft FIM 2010 命名空间"MicrosoftIdentityIntegrationServer"。
单击"安全设置"按钮。
将服务器场帐户添加到组和用户列表中,然后在"通过身份验证的用户权限"框中,针对"远程启用"权限选择"允许"。
单击“ 确定 ”关闭 “ROOT\MicrosoftIdentityIntegrationServer 的安全性 ”对话框,然后单击“ 确定 ”以消除 “WMI 控件属性 ”对话框。
重设 IIS
如果 SharePoint 管理中心网站和用户配置文件同步服务在同一台服务器上运行,则必须在用户配置文件同步服务启动后重置 IIS。 如果它们在不同的服务器上运行,则可以跳过此过程。
重置 IIS
- 确认执行此过程的用户帐户拥有以下凭据:
执行此过程的用户帐户是服务器场管理员
执行此过程的用户帐户是运行 SharePoint Server 2013 的计算机上的 Administrators 组的成员。
使用提升的权限启动命令提示符。
在“ 用户帐户控制 ”对话框中,单击“ 是”。
在“管理员: 命令提示符”窗口中,键入 iisreset,然后按 Enter。
显示"Internet 服务已成功重新启动"消息时,关闭"管理员: 命令提示符"窗口。
注意
重置 IIS 后,将花费几秒钟的时间加载管理中心页面。
阶段 2:配置连接并从目录服务导入数据
若要导入配置文件,必须至少具有一个与目录服务的同步连接。 在此阶段,将创建与要从中导入配置文件的每个目录服务的同步连接。 您可以在创建每个连接后同步,也可以在创建所有连接后一次性同步。 创建每个连接后同步花费的时间较长,但这样更易于排查可能遇到的任何问题。
您必须是服务器场管理员或 User Profile Service 应用程序的管理员才能执行这些过程。 如果您不是服务器场管理员,请使用"管理配置文件服务"页开始每个过程。
此阶段涉及以下任务:
创建与目录服务的同步连接
在此过程中,将创建与目录服务的连接。 连接可识别要同步的项目并包含用于与目录服务交互的凭据。 您输入的信息来自"连接规划"工作表。
创建与目录服务的配置文件同步连接
- 确认执行此过程的用户帐户拥有以下凭据:
执行此过程中的用户帐户是服务器场管理员或 User Profile Service 应用程序的管理员。
执行此过程的用户帐户是运行 SharePoint Server 2013 的计算机上的 Administrators 组的成员。
如果执行此过程的用户帐户是服务器场管理员,请完成这些步骤。 否则,请转到下一步:
在管理中心的"应用程序管理"部分,单击"管理服务应用程序"。
在"管理服务应用程序"页上,选择 User Profile Service 应用程序。
在管理中心的"管理配置文件服务"页上的"同步"部分,单击"配置同步连接"。
在"同步连接"页上,单击"新建连接"。
在"添加新的同步连接"页上的"连接名称"框中,键入同步连接的名称。
从"类型"列表中,选择要连接到的目录服务的类型。
根据要创建与其的连接的目录服务,填写"连接设置"部分。
对于 Active Directory 域服务 (AD DS),请执行以下步骤:
在"林名称"框中,键入林的名称。
执行下列操作之一:
如果林中只有一个域控制器,请单击"自动发现域控制器"。
如果林中有多个域控制器,请单击"指定域控制器",并在"域控制器名称"框中键入域控制器名称。
在"验证提供程序类型"框中,选择验证提供程序的类型。
如果选择"表单身份验证"或"受信任声明提供程序验证",请从"验证提供程序实例"框中选择验证提供程序。
"验证提供程序实例"框中仅列出了 Web 应用程序当前使用的身份验证提供程序。
提示
在显示身份验证提供程序的列表之前,您可能必须选择"受信任声明提供程序验证",然后选择"验证提供程序类型"框中的"表单身份验证"。
在"帐户名"框中,键入同步帐户。
在"密码"框中,键入同步帐户的密码。
在"确认密码"框中,再次键入同步帐户的密码。
在"端口"框中,输入连接端口。
如果在连接到目录服务时需要安全套接字层 (SSL) 连接,请选择"使用安全 SSL 连接"。
重要
如果使用 SSL 连接,则必须从 Active Directory 服务器导出域控制器的证书,并将证书导入到同步服务器。
对于 Novell eDirectory、Sun Java 系统目录服务器或 IBM Tivoli 目录服务器 (ITDS),请执行以下步骤:
在"目录服务服务器名称"框中,键入目录服务服务器的名称。
在"验证提供程序类型"框中,选择验证提供程序的类型。
在"验证提供程序实例"框中,选择验证提供程序。
"验证提供程序实例"框中仅列出了 Web 应用程序当前使用的身份验证提供程序。
提示
在显示身份验证提供程序的列表之前,您可能必须选择"受信任声明提供程序验证",然后选择"验证提供程序类型"框中的"表单身份验证"。
在"帐户名"框中,以 LDAP 格式键入同步帐户,例如,uid=username,ou=ouname,dc=yourcompany,dc=Com。
在"密码"框中,键入同步帐户的密码。
在"确认密码"框中,再次键入同步帐户的密码。
在"端口"框中,输入连接端口。
确认未选中"使用安全 SSL 连接"复选框。 这些目录服务不支持 SSL 连接。
在"用户名属性"框中,键入目录服务中充当每个配置文件的唯一标识符的属性的名称。
在"容器"部分,单击"填充容器",然后从目录服务中选择要同步的容器。
单击“确定”。
定义同步连接的排除筛选器
在此过程中,将定义连接的筛选器以指示要从同步中排除的用户配置文件和组。 您输入的信息来自"连接规划"工作表。
定义连接筛选器
- 确认执行此过程的用户帐户拥有以下凭据:
执行此过程中的用户帐户是服务器场管理员或 User Profile Service 应用程序的管理员。
执行此过程的用户帐户是运行 SharePoint Server 2013 的计算机上的 Administrators 组的成员。
如果执行此过程的用户帐户是服务器场管理员,请完成这些步骤。 否则,请转到下一步:
在管理中心的"应用程序管理"部分,单击"管理服务应用程序"。
在"管理服务应用程序"页上,选择 User Profile Service 应用程序。
在管理中心的"管理配置文件服务"页上的"同步"部分,单击"配置同步连接"。
在"同步连接"页上,右键单击要为其用户配置配置文件同步连接筛选器的连接,然后单击"编辑连接筛选器"。
在"编辑连接筛选器"页的"用户的排除筛选器"部分,选择用于联接筛选器的子句的运算符。
若要指定筛选器的所有子句都必须为 true,请选择"全部应用 (AND)"。
若要指定筛选器至少有一个子句必须为 true,请选择"任意适用 (OR)"。
在"属性"列表中,选择要比较的目录服务属性。
在"运算符"列表中,选择要使用的比较运算符。
注意
可用的运算符取决于所选的属性的数据类型。 有关每种数据类型可用的运算符的列表,请参阅 SharePoint Server 2013 中的连接筛选器数据类型和运算符。
在"筛选器"框中,键入要与属性进行比较的值。
单击“添加”。
添加的子句显示在"用户的排除筛选器"区域。
若要向筛选器添加子句,请重复步骤 5 至 9。
若要筛选要同步的组,请重复步骤 5 至 9,并使用该页面的"用户的排除筛选器"部分。
完成添加连接筛选器后,请单击“确定”。
映射用户配置文件属性
在此过程中,确定 SharePoint Server 2013 用户配置文件的属性如何映射到从目录服务检索到的用户信息。 您应已确定如何映射"用户配置文件属性"工作表中的"用户配置文件属性"数据表上的用户配置文件属性。
稍后将返回到此过程,以将用户配置文件属性映射到从业务系统检索的信息,并映射如何使用 SharePoint Server 2013 中的用户配置文件属性将信息写回到目录服务。 如果尚未进行到这些阶段,请忽略过程中处理业务系统和导出数据的部分。
映射用户配置文件属性
- 确认执行此过程的用户帐户拥有以下凭据:
执行此过程中的用户帐户是服务器场管理员或 User Profile Service 应用程序的管理员。
执行此过程的用户帐户是运行 SharePoint Server 2013 的计算机上的 Administrators 组的成员。
如果执行此过程的用户帐户是服务器场管理员,请完成这些步骤。 否则,请转到下一步:
在管理中心的"应用程序管理"部分,单击"管理服务应用程序"。
在"管理服务应用程序"页上,选择 User Profile Service 应用程序。
在管理中心的"管理配置文件服务"页的"人员"部分,单击"管理用户属性"。
在 “管理用户属性” 页上,右键单击要映射到目录服务属性的 SharePoint Server 2013 属性,然后单击“ 编辑”。
若要删除现有映射,请在"同步的属性映射"部分,选择要删除的映射,然后单击"删除"。
若要添加新映射,请执行以下操作:
在 “添加新映射” 部分的“ 源数据连接 ”列表中,选择要将 SharePoint Server 2013 属性映射到的外部系统的数据连接。
在"特性"列表中,选择要向其映射属性的外部系统中的特性的名称。
提示
只有在某个用户配置文件属性的数据类型与某个外部系统特性的数据类型兼容的情况下,才可以将前者映射到后者。 如果尝试映射到用户配置文件的特性没有列出,则可能是因为该用户配置文件属性的数据类型与该特性的数据类型不匹配。 有关兼容的数据类型的详细信息,请参阅SharePoint Server 2013 中的用户配置文件属性数据类型。
在"方向"列表中,选择映射方向。
导入方向意味着外部系统中属性的值将导入 SharePoint Server 2013,并用于设置 SharePoint Server 2013 属性的值。 “导出”方向意味着 SharePoint Server 2013 中 属性的值将导出到外部系统,并用于设置外部系统中属性的值。
注意
您不能编辑映射。 若要更改映射方向,必须首先删除包含旧方向的映射,然后以新方向创建一个映射并添加该映射。
单击“添加”。
单击“确定”。
重复步骤 4 至 7 以映射其他属性。
启动配置文件同步
使用此过程可在 SharePoint Server 2013 和外部系统(如目录服务或业务系统)之间同步配置文件信息。
启动配置文件同步
- 确认执行此过程的用户帐户拥有以下凭据:
执行此过程中的用户帐户是服务器场管理员或 User Profile Service 应用程序的管理员。
执行此过程的用户帐户是运行 SharePoint Server 2013 的计算机上的 Administrators 组的成员。
- 如果已导入用户或创建我的网站,并且已启用 NetBIOS 域名,则必须先禁用我的网站清理计时器作业,然后才能启动配置文件同步。
注意
有关此计时器作业的信息,请参阅 SharePoint Server 2013 中的默认计时器作业。 有关用于启用和禁用此计时器作业的 PowerShell cmdlet 的信息,请参阅 SharePoint Server cmdlet 参考。
如果执行此过程的用户帐户是服务器场管理员,请完成这些步骤。 否则,请转到下一步:
在管理中心的"应用程序管理"部分,单击"管理服务应用程序"。
在"管理服务应用程序"页上,选择 User Profile Service 应用程序。
在管理中心的"管理配置文件服务"页上的"同步"部分,单击"启动配置文件同步"。
在"启动配置文件同步"页上,如果这是第一次同步或者在上次同步后添加或更改了任何同步连接或属性映射,请选择"启动完全同步"。 选择"启动增量同步"可以仅同步自上次同步后更改的信息。
单击“确定”。
将显示"管理配置文件服务"页。
如果要启用我的网站清理计时器作业,请在启用该作业前另外完成以下几个步骤:
再次运行配置文件同步,如本节中所述。
在配置文件同步完成第二次运行后,在管理中心的"应用程序管理"部分,单击"管理服务应用程序"。
单击 User Profile Service 应用程序的名称,然后单击"管理用户配置文件"。
在"管理配置文件服务"页的"人员"部分,单击"管理用户配置文件"。
在"视图"旁边,选择"导入时丢失的配置文件"。
在"查找配置文件"框中,键入配置文件的域,然后单击"查找"。
对于每个返回的配置文件,检查原始目录服务(如 Active Directory)中配置文件的状态。 如果目录中任何一个返回的配置文件的状态不是"禁用"或"已删除",则不要启用我的网站清理计时器作业。 请联系 Microsoft 支持以获得更多帮助。 如果上述状态并非如此,则启用我的网站清理计时器作业。 有关用于启用和禁用此计时器作业的 PowerShell cmdlet 的信息,请参阅 SharePoint Server cmdlet 参考。
完全同步可能需要较长的时间。 如果刷新"管理配置文件服务"页,您将在页面的右侧看到同步作业的进度。 请注意,配置文件同步包含几个阶段,并且配置文件不会立即导入。 “管理配置文件服务”页不会随同步的进展情况自动刷新。
阶段 3:配置连接并从业务系统导入数据
您可以从业务系统(如人事系统或财务系统)导入数据,并使用该数据向现有用户配置文件添加属性。 您应已创建一个外部内容类型,用于将外部系统的信息引入到 SharePoint Server 2013 中。 有关如何创建要与业务系统同步的外部内容类型的详细信息,请参阅为 SharePoint Server 2013 规划配置文件同步。
此阶段是可选的。
您必须是服务器场管理员或同时是 User Profile Service 应用程序和 Business Data Connectivity Service 应用程序的管理员才能执行这些过程。 如果您不是服务器场管理员,请在"管理配置文件服务"页开始每个过程。
此阶段涉及以下任务:
授予 User Profile Service 应用程序使用外部内容类型的权限
使用此过程可授予服务器场帐户对外部内容类型执行操作的权限。 有关如何对外部内容类型设置权限的详细信息,请参阅对外部内容类型设置权限。
注意
Business Connectivity Services 使用外部内容类型上的权限和业务系统上的权限确定授权规则。 您必须确保服务器场帐户还具有访问业务系统的权限。 有关身份验证和权限的详细信息,请参阅 SharePoint Server 中的业务连接服务安全任务概述。
为用户配置文件服务应用程序授予使用外部内容类型的权限
- 确认执行此过程的用户帐户拥有以下凭据:
执行此过程的用户帐户是服务器场管理员或 Business Data Connectivity Service 应用程序的管理员。
执行此过程的用户帐户对要与其同步的外部内容类型具有"设置权限"权限。
- 如果执行此过程的用户帐户是服务器场管理员,请完成此步骤。 如果用户帐户不是服务器场管理员,请转到下一步:
- 在SharePoint 管理中心网站上的"应用程序管理"部分,单击"管理服务应用程序"。
在管理中心的"管理服务应用程序"页上,选择 Business Data Connectivity Service 应用程序。
选中外部内容类型(代表要与其同步的信息)的复选框。
在"权限"组中,单击"设置对象权限"。
在框中键入服务器场帐户,然后单击"添加"。
In the Permissions for <account> box, select Execute.
注意
If the farm account is the only account that is listed in the Permissions for <account> box, you must also give the farm account Set Permissions to the external content type. At least one user, group, or claim in the external content type's access control list must have the Set Permissions permission.
单击“确定”。
确认选中了"将权限传播给此外部内容类型的所有方法。执行此操作将覆盖现有权限。"复选框。
重复这些步骤以对其他外部内容类型设置权限。
配置业务数据连接同步连接
在此过程中,将为每个外部内容类型创建一个连接。 连接指定如何将业务系统数据与配置文件属性相关联。 您输入的信息来自"连接规划"工作表。
创建用户配置文件同步连接
- 确认执行此过程的用户帐户拥有以下凭据:
- 执行此过程的用户帐户是服务器场管理员或 User Profile Service 应用程序和 Business Data Connectivity Service 应用程序的管理员。
如果执行此过程的用户帐户是服务器场管理员,请完成这些步骤。 否则,请转到下一步:
在管理中心的"应用程序管理"部分,单击"管理服务应用程序"。
在"管理服务应用程序"页上,选择 User Profile Service 应用程序。
在管理中心的"管理配置文件服务"页上的"同步"部分,单击"配置同步连接"。
在"同步连接"页上,单击"新建连接"。
在"添加新的同步连接"页上的"连接名称"框中,为同步连接键入一个名称。
从"类型"列表中,选择"业务数据连接"。
在"业务数据连接实体"框中,键入外部内容类型的名称。
提示
如果不知道外部内容类型的名称,请单击"选择外部内容类型"按钮以查看所有外部内容类型。 从列表中选择外部内容类型,然后单击"确定"。
如果每个用户配置文件仅映射到一个外部内容类型实例,请执行以下操作:
单击"以一对一映射的形式将用户配置文件存储连接到业务数据连接实体"。
在"返回此配置文件属性标识的项目"列表中,选择用于将用户配置文件与外部内容类型实例相匹配的用户配置文件属性。 用户配置文件属性和外部内容类型标识符定义用户配置文件与外部内容类型之间的 1:1 关系,并用于确保导入的属性应用于正确的用户配置文件。
提示
"返回此配置文件属性标识的项目"列表返回与外部内容类型标识符具有相似数据类型的所有用户配置文件属性。
如果一个用户配置文件可以映射到多个外部内容类型实例,请执行以下操作:
单击"以一对多映射的形式将用户配置文件存储连接到业务数据连接实体"。
在"项目筛选依据"列表中,选择用于查找适用于用户配置文件的外部内容类型实例集的筛选器。
注意
"项目筛选依据"列表显示在外部内容类型中定义的所有筛选器。
在"将此配置文件属性用作筛选值"列表中,选择用于将用户配置文件与外部内容类型实例匹配的用户配置文件属性。
单击“确定”。
重复步骤 4 至 10 以添加更多连接。
添加或编辑用户配置文件属性
必须首先指定如何将业务系统数据映射到用户配置文件属性,然后才能导入业务系统数据。 “用户配置文件属性”工作表中的“用户配置文件属性”数据表列出了要导入的业务系统属性,以及这些属性如何映射到 SharePoint Server 2013 配置文件存储中的配置文件属性。
按照映射用户配置文件属性一节中的过程操作,以映射其他用户配置文件属性。 如果数据映射到现有用户配置文件属性,请编辑该属性并添加新映射。 如果数据不映射到现有用户配置文件属性,请添加新的自定义属性,然后映射该属性。
导入数据
若要从业务系统导入数据,必须执行完全同步。 按照启动配置文件同步一节中的过程操作以启动完全同步。
阶段 4:配置连接并将数据导出到目录服务
在前面的阶段中,你配置了必须具有的配置文件同步连接。 若要将配置文件信息写回到目录服务,可将配置文件属性映射到目录服务中的特性,映射方向为"导出"。 下次运行配置文件同步时,将根据配置的映射导入和导出属性。
注意
尽管可以使用 Business Connectivity Service 从业务系统导入配置文件数据,但是不能将配置文件数据导出到业务系统。
此阶段是可选的。
您必须是服务器场管理员或 User Profile Service 应用程序的管理员才能执行这些过程。 如果您不是服务器场管理员,请使用"管理配置文件服务"页开始每个过程。
请勿创建新同步连接来导出属性。 若要将属性导出到目录服务,请使用所创建的用于从目录服务导入属性的同一同步连接。 不能将同步连接仅用于导出属性。
Follow the procedure to Map user profile properties again, this time selecting Export for the mapping direction. 映射的属性将从 SharePoint Server 2013 导出到您选择的连接的目录服务。
再次按照用于启动配置文件同步的过程操作,这次选择执行增量同步。 将更新映射为导出到目录服务属性的任何 SharePoint Server 2013 配置文件属性的值。
注意
对于某些目录服务,可能需要其他权限才能将数据写回目录服务。 查看“计划配置文件同步”一文的“计划 帐户权限 ”部分中的信息,并确保同步帐户具有必要的权限。
鸣谢
SharePoint Server 2013 内容发布团队感谢企业架构师 Spencer Harbar 投稿本文。 请访问他的博客 http://www.harbar.net。