管理 Project Server 中安全性群組與 Active Directory 的同步處理

總結:您可以在 Project Web App 中設定 Project Server 安全性群組,以與 Active Directory 中的安全性或通訊群組同步。
適用于:Project Server 訂閱版本、Project Server 2019、Project Server 2016、Project Server 2013

注意事項

若要將 Active Directory 同步處理設定為Project Web App安全性群組,您的 Project Server 實例必須處於 Project Server 許可權模式。 這些設定不能用於 SharePoint 權限模式。 如需 Project Server 許可權模式的詳細資訊,請參閱 規劃 Project Server 中的使用者存取權。

Project Server 安全性群組同步處理會根據 Active Directory 目錄服務中的群組成員資格,從指定的 Project Server 安全性群組自動新增和移除使用者,以控制 Project Server 安全性群組成員資格。 每個 Project Server 安全性群組都可對應到一個 Active Directory 群組。 此外,Active Directory 群組還可以包含巢狀群組,這樣也會同步處理其成員。

在 Project Server 安全性群組同步處理過程中會產生下列動作:

  • 會根據 Active Directory 帳戶建立新的 Project Server 使用者帳戶。

  • 現有的 Project Server 使用者會從 Project Server 安全性群組中移除。

  • 現有的 Project Server 使用者會新增至 Project Server 安全性群組。

  • 如果 Active Directory 中的現有使用者帳戶中繼資料 (姓名、電子郵件地址等) 有所變更,則現有 Project Server 使用者帳戶中繼資料也會隨之更新。

執行此程序之前,請先確認下列事項:

  • 您透過 Project Web App (PWA 存取 Project Server 的帳戶) 已啟用[管理 Active Directory 設定] 和 [管理使用者和群組] 全域許可權。

  • Project Server 實例的服務應用程式服務帳戶具有同步處理所涉及之所有 Active Directory 群組和使用者帳戶的讀取權限。 您可以在 SharePoint 管理中心網站上的服務應用程式頁面上驗證此帳戶。

安全性群組同步處理案例

下列是進行安全性群組同步處理時可能發生的案例及對應動作:

案例 動作
使用者存在於 Active Directory 中,且是對應至目前 Project Server 安全性群組的 Active Directory 群組成員。 使用者不存在於 Project Server 中。
會在 Project Server 中建立新對應的使用者帳戶,且授與其目前 Project Server 安全性群組的成員資格。
使用者不是對應至目前 Project Server 安全性群組的 Active Directory 群組成員。 使用者也存在於 Project Server 中,且是目前 Project Server 安全性群組的成員。
會移除該名現有 Project Server 使用者,使其不再是目前 Project Server 安全性群組的成員。
使用者存在於 Active Directory 中,且是對應至目前 Project Server 安全性群組的 Active Directory 群組成員。 使用者也存在於 Project Server 中,但不是目前 Project Server 安全性群組的成員。
會將目前 Project Server 安全性群組的成員資格授與該名現有 Project Server 使用者。
使用者存在於 Active Directory 中,且是對應至目前 Project Server 安全性群組的 Active Directory 群組成員。 使用者也存在於 Project Server 中,且是目前 Project Server 安全性群組的成員。 已更新 Active Directory 中的使用者資訊。
對應的 Project Server 使用者資訊會隨之更新 (如果適用)。
使用者存在於 Active Directory 中,且是對應至目前 Project Server 安全性群組的 Active Directory 群組成員。 使用者也存在於 Project Server 中,但卻是非使用中的帳戶。
如果在 Project Server 中選取 [同步處理時,如果在 Active Directory 中找到目前非作用中的使用者,自動重新啟用這些使用者] 選項,就會重新啟用該帳戶,並新增至目前 Project Server 安全性群組中。 如果未選取此選項,則該帳戶在 Project Server 中仍會處於非作用中。

設定安全性群組與 Active Directory 群組的同步處理

Project Web App安全性群組與 Active Directory 群組的同步處理是透過Project Web App伺服器設定的 [管理群組] 頁面來完成。

設定安全性群組同步處理

  1. 在 [Project Web App 伺服器設定] 頁面的 [安全性] 區段中,按一下 [管理群組]

  2. 在「管理群組」頁面上,按一下 [群組名稱] 欄中要同步處理的安全性群組名稱。

  3. 在您所選群組的 [新增或編輯] 頁面上,于 [ Active Directory 群組 ] 區段中,輸入您要與這個 PWA 群組同步處理之 Active Directory 群組的名稱或 SAM 帳戶。 當您輸入群組名稱時,包含該字串的 Active Directory 群組就會出現在結果中。 從結果中選取您要同步處理的 Active Directory 群組。

    若要從遠端樹系選取群組,請輸入群組的完整功能變數名稱 (例如 group@corp.contoso.com ,) 。

    注意事項

    您可以同步處理至任何範圍 (本機、全域或萬用) 的安全性群組或通訊群組。

  4. 按一下 [儲存] 儲存設定。

  5. 在「管理群組」頁面上,按一下 [Active Directory 群組同步處理選項]

  6. 在 [同步處理 Project Web App 安全性群組與 Active Directory] 對話頁面上,您可以選擇在同步處理期間,如果在 Active Directory 群組中發現非作用中的使用者帳戶,則將其重新啟用。 若要這樣做,請選取 [同步 期間在 Active Directory 中找到時,自動重新啟用目前非作用中的使用者]。例如,如果您啟用此選項,它會確保如果重新雇用員工,員工的使用者帳戶將會重新啟用。

  7. 按一下 [儲存] 儲存設定。 如果您想要立即同步處理 Project Server 安全性群組,請按一下 [ 立即儲存並同步 處理]。 [狀態] 區段描述上次Project Web App群組與 Active Directory 同步處理的時間。

    注意事項

    按一下 [儲存並開始同步處理] 按鈕,會將所有安全性群組同步處理至所設定的 Active Directory 群組。 在按一下 [Active Directory 群組同步處理選項] 之前,請勿在「管理群組」頁面選取個別安全性群組,因為這不會影響要同步處理哪些群組。

您可以檢視「管理群組」頁面,以查看哪些 PWA 安全性群組已同步處理至 Active Directory 群組,以及每個安全性群組上次同步處理的時間。

  • [Active Directory 群組] 欄顯示哪些 Active Directory 群組已設定為要與 PWA 安全性群組同步處理。

  • [上次同步處理] 欄會顯示每個群組上次同步處理成功的時間。

排定 Active Directory 同步處理至 PWA 安全性群組的時程

您可以使用 [ Project Server: Synchronization of AD with security groups timer job configuration settings in Central Administration] 來排程 Active Directory 同步處理至 PWA 安全性群組的頻率。 您可以在定義的分鐘數、日數、週數或月數期間進行排程。 下列程式示範如何在管理中心存取 Project Server:與安全性群組 計時器工作組態設定同步處理 AD,並描述可用的排程選項。

排定 Active Directory 同步處理至 PWA 安全性群組的時程

  1. 在管理中心按一下 [監視]

  2. 在「監視」頁面上,按一下 [計時器工作] 區段中的 [檢閱工作定義]

  3. 在 [作業定義] 頁面上,尋找並按一下 [Project Server: 與 PWAIntanceName 的安全性群組同步處理 AD]

    例如:Project Server:將 AD 與安全性群組同步處理 https://contoso/pwa.

  4. 在工作的「編輯計時器工作」頁面上,您可以在 [週期性排程] 區段中設定定期執行同步處理的時間。 在 [此計時器工作排定執行於] 區段中,您可以根據組織的需求,選取下列其中一個選項:

    • 分鐘:可讓您指定作業執行的頻率 — 每 x 分鐘一次

    • 每小時:可讓您指定作業會隨機執行的間隔 — 從過去一小時 x 分鐘到超過一小時 y 分鐘之間的每小時開始

    • 每日:可讓您指定作業會隨機執行的間隔 — 從 每天的 x 個時間開始,一天中的時間不超過 y 次

    • 每週:可讓您指定要隨機執行哪一項作業 — 從 每週的 x 天到一天中的 x 個時間之間開始,以及不晚于一周中的 y 天和一天的 y 個時間

    • 每月:提供兩個選項:

    • 可讓您指定作業將隨機執行的間隔 — 依日期:從每天的 x 時間到當月的 x 天之間每個月開始,以及不晚于一天中的 y 個時間和一個月的 y 天

    • 可讓您指定計時器工作將在當月執行的確切時間 — 依日期:從每個月 x 天、一周 y 天和當月的 z 周開始。 例如,「第一個星期日的凌晨 12 點」

  5. 按一下 [確定] 儲存設定變更。

    注意事項

    您可以隨時按一下 [立即執行] 立即執行計時器工作。

請注意,有幾個選項提供執行工作的一段執行時間,而不是實際時間或頻率。 選取提供一段執行時間的選項,可讓計時器服務選取指定參數內的隨機時間,以在每部應用程式伺服器上執行工作。 使用具有執行時間的選項適用于在伺服器陣列中多部伺服器上執行的高負載作業。 若在所有伺服器上同時執行此類型的工作,可能會讓伺服器陣列承受不合理的負載。

有各種因素可協助您決定如何選擇執行 [Project Server:同步處理 AD 與安全性群組] 計時器工作的頻率。 如果在您的環境中,使用者經常移動到不同的群組,或者如果公司經常雇用或解雇員工,您可能會想要選擇較常執行此計時器工作。 如果您的 Project Server 使用者正在處理敏感性資料,您也可以選擇更頻繁地執行作業。

另請參閱

管理 Project Server 2013 中的 Active Directory 資源資料庫同步處理

在 Project Server 中管理安全性群組

在 Project Server 2013 中設定企業資源資料庫同步處理的 Active Directory 群組最佳做法