在 SharePoint Server 中使用 SharePoint Active Directory 导入配置配置文件同步
适用于:
2013 2016 2019 Subscription Edition 
SharePoint in Microsoft 365
可以使用 SharePoint Active Directory 导入选项 (AD 导入) 作为替代方法,使用 Microsoft Identity Manager (MIM) 从域中Active Directory 域服务 (AD DS) 导入用户配置文件数据。
使用 AD 导入的导入操作比使用 MIM 的相同操作要快得多。 但是,AD 导入仅适用于 Active Directory 域服务 (AD DS) ,不适用于其他目录服务。 此外,如果选择使用 AD 导入,MIM 或其他外部标识管理器无法连接到其他数据源(例如业务应用程序)。
您必须是 Farm Administrators 组的成员才能执行本文中的过程。 还需要具有同步权限的域凭据才能配置连接。
注意
MIM 是仅在 SharePoint Server 2016 和 SharePoint Server 2019 中可用的外部提供程序。
了解 Microsoft 365 中 SharePoint 的用户配置文件同步。
AD 导入不支持的情况
确定是否使用 AD 导入选项时,请考虑以下事项并注意 AD 导入选项不支持的内容:
AD 导入方法不执行双向同步。 这意味着对 SharePoint 用户配置文件所做的更改不会同步回域控制器。
仅在单个 Active Directory 林中保持用户与组之间的引用完整性。
AD 导入选项使您能够配置并仅使用单个服务器场范围的属性映射。
AD 导入选项不会自动将照片从 Active Directory 同步到 SharePoint Server 2016。
AD 导入选项不支持泛型(非 AD)LDAP 源。
AD 导入选项不支持源架构发现。
AD 导入选项不支持多林方案,如:
如果您有两个林之间的信任关系,则不会导入受信任的林对象。
AD 导入支持从多个域导入用户,前提是每个域创建一个同步连接。 或者,请考虑使用 Microsoft Identity Manager。
AD 导入选项不支持 Contact 对象(也称为跨对象指针)。
AD 导入选项不支持除用户和组之外的自定义对象类。
AD 导入选项不筛选用于创建复杂布尔表达式的用户界面。
AD 导入选项不提供基于对象属性值的对象筛选(必须使用简单的 LDAP 筛选器)。
AD 导入选项不提供登录和资源林支持。 也就是说,从多个源自定义数据连接。
AD 导入选项不支持 Business Connectivity Services 导入。
AD 导入选项不支持复杂类型(如图片和特殊 AD 类型)的属性映射。
AD 导入选项不支持将数据从 SharePoint 导出到目录源。
AD 导入选项不支持升级/转换基于 FIM 的连接或将配置同步到 AD 导入 (或反向顺序) 。
AD 导入选项不能确保每个对象属性的单主机(当前以最后一个编写器为准)。
AD 导入选项不执行逐租户的属性映射。
设置 SharePoint Active Directory 导入
可在管理中心中执行三个过程来配置 AD 导入。
在第一个过程中,将 SharePoint Server 配置为使用 AD 导入,而不是使用外部标识管理器(如 MIM)。
第二个过程中,创建与 AD DS 的同步连接。 连接标识要同步的项,并包含用于与 AD DS 交互的凭据。
在第三个过程中,确定 SharePoint Server 中用户配置文件的属性如何映射到从 AD DS 检索到的用户信息。
将 SharePoint Server 配置为使用 AD 导入
在 SharePoint 管理中心网站上的“应用程序管理”部分,单击“管理服务应用程序”。
在 “管理服务应用程序 ”页上,单击“用户配置文件服务”应用程序的链接。
在"管理配置文件服务"页上的"同步"部分,单击"配置同步设置"。
在"配置同步设置"页上的"同步选项"部分,选择"使用 SharePoint Active Directory 导入"选项,然后单击"确定"。
若要导入配置文件,必须至少建立一个与 AD DS 的同步连接。 可以建立与多个 AD DS 服务器的连接。 使用以下过程,创建与要从中导入配置文件的每个 AD DS 服务器的同步连接。 您可以在创建每个连接后同步,也可以在创建所有连接后一次性同步。 尽管每次连接后同步需要更长的时间,但此过程可以更轻松地排查可能遇到的任何问题。
创建与目录服务的连接以导入
在 SharePoint 管理中心网站上的“应用程序管理”部分,单击“管理服务应用程序”。
在 “管理服务应用程序 ”页上,单击“用户配置文件服务”应用程序的链接。
在"管理配置文件服务"页上的"同步"部分,单击"配置同步连接"。
在"同步连接"页上,单击"新建连接"。
在"添加新的同步连接"页上的"连接名称"框中,键入同步连接的名称。
从"类型"列表中,选择"Active Directory 导入"。
通过完成以下步骤填写"连接设置"部分:
在“ 完全限定的域名 ”框中,键入域的完全限定域名。
在"验证提供程序类型"框中,选择验证提供程序的类型。
如果选择"表单身份验证"或"受信任声明提供程序验证",请从"验证提供程序实例"框中选择验证提供程序。
"验证提供程序实例"框中仅列出了 Web 应用程序当前使用的身份验证提供程序。
在“ 帐户名称 ”框中,键入希望 AD 导入工具用于执行同步的帐户的名称。 使用“域<用户名”>窗体<。>\ 同步帐户必须在林的根目录中具有“复制目录”权限。
在 “密码 ”和“ 确认密码 ”框中,键入帐户的密码。
在"端口"框中,键入您希望 AD 导入工具在执行同步时用来连接到 AD DS 的连接端口。
如果在连接到目录服务时需要安全套接字层 (SSL) 连接,请选择"使用安全 SSL 连接"。
重要
如果使用 SSL 连接,则必须从 AD DS 服务器导出域控制器的证书,并在 SSL 证书不受 SharePoint 服务器 () 信任时将证书导入同步服务器。
如果要筛选掉 AD DS 中禁用的用户,请选中“ 筛选掉禁用的用户 ”复选框。
如果希望筛选要从目录服务中导入的对象,请在"在 Active Directory 导入的 LDAP 语法中筛选"框中,键入标准 LDAP 查询表达式以定义筛选器。
在"容器"部分,单击"填充容器",然后从目录服务中选择要同步的容器。 选择的所有组织单位 (OU) 都将与其子 OU 同步。 目前没有任何实用程序允许选择父 OU 且将其任何子 OU 从同步中排除。
注意
对象筛选仅在初始导入该对象期间进行。 导入后对筛选器的更改不会影响已导入的对象。
单击“确定”。
新建的连接列在"同步连接"页上。
提示
在 “同步连接” 页上,可以单击同步连接的名称,然后单击“ 编辑 ”或“ 删除 ”以编辑或删除连接。
映射用户配置文件属性
在 SharePoint 管理中心网站上的“应用程序管理”部分,单击“管理服务应用程序”。
在 “管理服务应用程序 ”页上,单击“用户配置文件”服务应用程序的链接。
在"管理配置文件服务"页上的"人员"部分,单击"管理用户属性"。
在 “管理用户属性” 页上,单击要映射到目录服务属性的属性的名称,然后单击“ 编辑”。
若要删除现有映射,请在"同步的属性映射"部分,选择要删除的映射,然后单击"删除"。
若要添加新映射,请执行以下任务:
在"添加新映射"部分的"源数据连接"列表中,选择表示要向其映射用户配置文件属性的目录服务的数据连接。
在"属性"框中,键入要将属性映射到的目录服务属性的名称。
单击“添加”。
注意
无法添加多个映射或编辑某个映射。 若要更改属性的映射设置,必须首先删除现有映射,然后创建新映射。
单击“确定”。
重复步骤 4 到 7 以映射更多属性。
启动配置文件同步
在 SharePoint 管理中心网站上的“应用程序管理”部分,单击“管理服务应用程序”。
在 “管理服务应用程序 ”页上,单击“用户配置文件”服务应用程序的链接。
在"管理配置文件服务"页上的"同步"部分,单击"启动配置文件同步"。
在 “启动配置文件同步 ”页上,选择“ 启动完全同步 ”进行首次同步,或者如果自上次同步以来已添加或修改任何同步连接。 选择"启动增量同步"可以仅同步自上次同步后更改的信息。
单击“确定”。
将显示"管理配置文件服务"页,其中在右侧窗格中显示配置文件的同步状态。
另请参阅
概念
在 SharePoint Server 中管理用户配置文件同步
为 SharePoint Server 2013 规划配置文件同步
在 SharePoint Server 2013 中同步用户和组配置文件