管理 Project Server 中安全组与 Active Directory 的同步
总结:可以在 Project Web App 中配置 Project Server 安全组,以与 Active Directory 中的安全组或通讯组同步。
适用于:Project Server 订阅版、Project Server 2019、Project Server 2016、Project Server 2013
注意
若要将 Active Directory 同步配置为Project Web App安全组,Project Server 实例必须处于 Project Server 权限模式。 这些设置在 SharePoint 权限模式下不可用。 有关 Project Server 权限模式的详细信息,请参阅 规划 Project Server 中的用户访问。
Project Server 安全组同步控制 Project Server 安全组成员身份,方法是根据 Active Directory 目录服务中的组成员身份自动从指定的 Project Server 安全组中添加和删除用户。 每个 Project Server 安全组都可映射到单个的 Active Directory 组。 此外,Active Directory 组可包含还将同步其成员的嵌套组。
在 Project Server 安全组同步过程中,可执行以下操作:
可以基于 Active Directory 帐户创建新的 Project Server 用户帐户。
可以从 Project Server 安全组中移除现有 Project Server 用户。
可以向 Project Server 安全组添加现有 Project Server 用户。
如果已在 Active Directory 中更改了现有的 Project Server 用户帐户的元数据(名称、电子邮件地址等),则可以对其进行更新。
在执行此过程之前,请确认以下内容:
通过 Project Web App (PWA) 访问 Project Server 的帐户启用了“管理 Active Directory 设置”和“管理用户和组”全局权限。
Project Server 实例的服务应用程序服务帐户对同步中涉及的所有 Active Directory 组和用户帐户具有读取访问权限。 可以在 SharePoint 管理中心网站上的“服务应用程序”页上验证此帐户。
安全组同步应用方案
以下是可能的方案和在执行安全组同步时发生的相应操作:
| 应用场景 | 操作 |
|---|---|
| 用户在 Active Directory 中,并且是映射到当前 Project Server 安全组的 Active Directory 组的成员。 该用户不在 Project Server 中。 |
在 Project Server 中创建一个相应的新用户帐户,并向其授予当前 Project Server 安全组成员资格。 |
| 用户不是映射到当前 Project Server 安全组的 Active Directory 组的成员。 该用户也在 Project Server 中,并且是当前 Project Server 安全组的成员。 |
将现有 Project Server 用户作为当前 Project Server 安全组的成员移除。 |
| 用户在 Active Directory 中,并且是映射到当前 Project Server 安全组的 Active Directory 组的成员。 该用户也在 Project Server 中,但不是当前 Project Server 安全组的成员。 |
向现有 Project Server 用户授予当前 Project Server 安全组成员资格。 |
| 用户在 Active Directory 中,并且是映射到当前 Project Server 安全组的 Active Directory 组的成员。 该用户也在 Project Server 中,并且是当前 Project Server 安全组的成员。 用户信息在 Active Directory 中已经更新。 |
更新相应的 Project Server 用户信息(如果合适)。 |
| 用户在 Active Directory 中,并且是映射到当前 Project Server 安全组的 Active Directory 组的成员。 该用户也在 Project Server 中,但是为非活动帐户。 |
如果在 Project Server 中选择“同步期间,如果在 Active Directory 中发现了当前处于非活动状态的用户,则自动重新激活这些用户”选项,则将重新激活该帐户,并将其添加到当前 Project Server 安全组中。 如果未选择该选项,则该帐户在 Project Server 中将仍然保持非活动状态。 |
配置安全组与 Active Directory 组的同步
Project Web App安全组与 Active Directory 组同步是通过Project Web App服务器设置的“管理组”页完成的。
配置安全组同步
在“Project Web App服务器设置”页上的“安全性”部分中,单击“管理组”。
在“管理组”页上的“组名称”列中,单击要同步的安全组的名称。
在所选组的“添加”或“编辑”页上的 “Active Directory 组 ”部分中,键入要与该 PWA 组同步的 Active Directory 组的名称或 SAM 帐户。 在键入组名时,包含文本字符串的 Active Directory 组将出现在结果中。 从结果中选择要同步的 Active Directory 组。
若要从远程林中选择组,请键入组的完全限定域名 (例如 group@corp.contoso.com ,) 。
注意
您可以同步到任何范围的安全组或通讯组(本地、全局或通用)。
单击“保存”以保存设置。
在“管理组”页上,单击“Active Directory 组同步选项”。
在“将 Project Web App 安全组与 Active Directory 同步”对话框页上,可以重新激活在同步期间在 Active Directory 组中发现的非活动用户帐户。 为此, 请选择“自动重新激活当前处于非活动状态的用户”(如果在同步期间在 Active Directory 中找到)。例如,如果启用此选项,它将确保重新雇用员工时,将重新激活该员工的用户帐户。
单击“保存”可以保存设置。 如果要立即同步 Project Server 安全组,请单击“ 保存并立即 同步”。 “状态”部分介绍了上次Project Web App组与 Active Directory 同步的时间。
注意
单击“保存并立即同步”按钮会将所有安全组同步到已配置的 Active Directory 组。 在单击“Active Directory 组同步选项”之前,不要在“管理组”页中选择各个安全组,因为这样做不会影响要同步哪些组。
可以通过查看“管理组”页来了解哪些 PWA 安全组已同步到 Active Directory 组以及每个安全组上次同步的时间。
“Active Directory 组”列显示哪些 Active Directory 组配置为与 PWA 安全组同步。
“上次同步时间”列显示每个组上次成功同步的时间。
安排 Active Directory 与 PWA 安全组的同步
可以使用管理中心中的 Project Server: 同步 AD 与安全组 计时器作业配置设置来计划 Active Directory 与 PWA 安全组同步的频率。 可按定义的时间段(分钟、天、周或月)计划同步频率。 以下过程演示如何在管理中心访问 Project Server:与安全组 计时器作业配置设置的 AD 同步,并介绍了可用的计划选项。
安排 Active Directory 与 PWA 安全组的同步
在管理中心网站上,单击“监控”。
在“监控”页上的“计时器作业”部分,单击“复查作业定义”。
在“作业定义”页上,找到并单击“ Project Server:AD 与 PWAIntanceName 的安全组同步”。
例如:Project Server:将 AD 与 安全组同步 https://contoso/pwa.
在作业的“编辑计时器作业”页上的“定期计划”部分,可以配置同步定期运行的时间。 在“已计划运行此计时器作业”部分,可以根据组织要求选择下列选项之一:
分钟数:允许指定运行作业的频率 — 每 x 分钟一次。
每小时:允许指定作业随机运行的间隔 — 从每小时开始一次,间隔在一小时后的 x 分钟到一小时后的 y 分钟内不晚于 y 分钟。
每日:允许指定作业随机运行的间隔 - 每天从一天中的 x 个时间开始,不晚于一天中的 y 时间。
每周:允许你指定作业将随机运行的时间 — 每周从 x 天开始,一天中的 x 个时间,不晚于一周中的 y 天和一天中的 y 时间。
每月:提供两个选项:
允许指定作业随机运行的间隔 : 按日期:从 x 天时间到每月 x 天之间开始,不晚于一天中的 y 时间和每月的 y 天。
允许指定运行计时器作业的确切月份时间 : 按天:从每个月开始 x 个时间,一周中的 y 天,以及每月的 z 周。 例如,“第一个星期日的中午 12:00”。
单击“确定”以保存所做的配置更改。
注意
您可以随时单击“立即运行”以便立即运行计时器作业。
注意,有若干个选项为您提供了运行作业的执行时间段,而不是精确的时间或频率。 选择提供执行时间段的选项使计时器服务可在指定参数内选择一个随机时间,以便在每台应用程序服务器上运行作业。 使用具有执行时间段的选项适用于在场中的多个服务器上运行的高负载作业。 通过同时在所有服务器上运行此类型的作业可能会使服务器场产生不合理的负载。
多种因素都可以帮助您确定选择运行“Project Server: AD 与安全组同步”计时器作业的频率。 如果在您的环境中,用户频繁移至不同组或公司频繁雇用或解雇员工,则可能要选择更频繁地运行此计时器作业。 如果 Project Server 用户正在使用敏感数据,则还可能需要选择更频繁地运行作业。