SharePoint域信任中处理标识和权限问题

症状

假定域 A 和域 B 的两个域 (双向) 。 用户随来自域 A 的 SID 历史记录一起迁移到域 B,并且用户仍在域 A 中处于活动状态。在SharePoint域之一的服务器场中,可能会遇到以下问题:

  • 人员选取器中找不到来自其中一个域的用户。 此行为可能是一致的或间歇性的。

  • 尝试向用户分配权限时,会收到以下错误消息:

    用户不存在或不是唯一的。

  • 用户失去对网站SharePoint权限,或者他们无法访问SharePoint分配了权限的网站。

  • 用户配置文件数据随机消失。

原因

出现此问题的原因是,SharePoint对象Sid 属性查询用户帐户时所使用的基础 .NET 程序集。 当两个 Active Directory 帐户共享 SID 历史记录 (另一个帐户) 的 sidHistory 属性中将列出一个帐户的 objectSid 属性,Active Directory 基本上将两个帐户视为同一帐户。 调用 Active Directory 检索帐户信息可能会从域 A 或域 B 返回帐户。

解决方案

此方案不受支持。 SharePoint驻留在双向域信任的一部分的域中,在两个域中拥有活动帐户的用户共享 SID 历史记录。 每个帐户必须是唯一的。 若要确保这是这种情况,您需要在 Active Directory 中执行以下操作之一:

  • 禁用源帐户。
  • 从目标帐户的 SID 历史记录中删除源帐户的 objectSid 属性。

更多信息

仍然需要帮助? 请转到 SharePoint 社区