同步處理 SharePoint Server 2013 中的使用者與群組設定檔
適用于:
2013 
2019 Subscription Edition SharePoint in Microsoft 365
設定設定檔同步處理是包含許多步驟的程序。 本文將此程序分成幾個較短的階段,以便您檢視進度,並減少發生錯誤時必須重做的步驟數。 設定設定檔同步處理分成四個階段。 根據您的情況,您可能不需要執行所有階段。 本文還提供「階段 0」,內含設定設定檔同步處理之前,所需的必要條件設定指示。
SharePoint Server 2013 會透過伺服器對伺服器驗證,利用使用者設定檔和群組,代表使用者互相存取及要求資源。 如需關於伺服器對伺服器驗證的詳細資訊,請參閱<SharePoint Server 的伺服器對伺服器驗證及使用者設定檔>。
重要事項
本文僅適用於 SharePoint Server 2013。
開始之前
開始此作業之前,請先檢閱下列必要條件的相關資訊:
當您設定設定檔同步處理時,您需要相關資訊,以回答使用者介面中的問題。 您也需要具備適當權限的帳戶,以及已部分設定的 SharePoint Server 2013 伺服器陣列。 本節中的各節說明設定設定檔同步處理之前,必須具備的必要條件。
收集資訊
在您執行本文中的程序之前,應先完成SharePoint Server 2013 的使用者設定檔屬性與設定檔同步處理規劃工作表。 當您執行本文中的程序時,將會用到您在工作表中記錄的資訊。
連線規劃工作表:包含即將建立的每個設定檔同步處理連線的詳細資料。 <規劃 SharePoint Server 2013 Preview 的設定檔同步處理>一文包含填寫工作表的指示。
使用者設定檔屬性工作表:識別使用者設定檔屬性和屬性對應至外部資料來源的方式。 <Plan user profiles in SharePoint Server>一文會提供工作表大部分內容的填寫說明;<Plan profile synchronization for SharePoint Server 2013>一文會提供如何新增屬性對應資訊的指示。
設定檔同步處理規劃工作表:收集建立 User Profile Service 應用程式及其必要條件所需的資訊。 如果您的伺服器陣列已包含 User Profile Service 應用程式,則可以略過此工作表。
您必須知道同步處理伺服器的名稱。 同步處理伺服器是將會執行 User Profile Synchronization Service 的伺服器。 <規劃 SharePoint Server 2013 的設定檔同步處理>的<規劃同步處理伺服器>一節包含如何選取同步處理伺服器的準則。
授與帳戶權限
若要設定設定檔同步處理,您必須知道伺服器陣列帳戶與伺服器陣列帳戶的密碼,還需要一個同步處理帳戶,用於將要同步處理的每個目錄服務。 <規劃 SharePoint Server 2013 的設定檔同步處理>的<規劃帳戶權限>一節說明每個帳戶需要的權限。 如果帳戶的權限不適當,在進行一部分設定程序之前,您可能不會知道權限有誤。
注意事項
不正確的權限是設定設定檔同步處理時最常見的錯誤原因。
安裝必要條件
若要設定設定檔同步處理,您必須在伺服器陣列設定中安裝 SharePoint Server 2013。
您必須完整安裝 SQL Server,而不是安裝 Express 版。 如果遵循<在包含內建資料庫的單一伺服器上安裝 SharePoint 2013>中的指示安裝 SharePoint Server 2013,設定檔同步處理將無法運作。
階段 0:設定伺服器陣列
在此階段中,您會設定同步處理設定檔的基礎結構。
此階段包括下列工作:
[使用 PowerShell 啟用 User Profile Synchronization 的 NetBIOS 網域名稱](configure-profile-synchronization.md# Proc)
若要執行此階段的工作,您必須是 SharePoint 伺服器陣列管理員群組成員,以及執行 SharePoint Server 2013 之電腦上的系統管理員群組成員。
建立架設「我的網站」的 Web 應用程式
在此程序中,您會建立存放「我的網站」的 Web 應用程式。 建議「我的網站」位於不同的 Web 應用程式,不過 Web 應用程式可以位於其他共同作業網站共用的應用程式集區中,或位於共用的 IIS 網站之不同的應用程式集區中。 如需 SharePoint Server 2013 網站、應用程式集區及 IIS 網站的詳細資訊,請參閱<適用於 SharePoint 2013 IT 專業人員的架構設計>。 如需如何建立 Web 應用程式的詳細指示,請參閱<在 SharePoint Server 中建立 Web 應用程式>。
建立 Web 應用程式
- 確認執行此程序的使用者帳戶具有下列認證:
執行此程序的使用者帳戶是伺服器陣列管理員。
執行此程序的使用者帳戶是執行 SharePoint Server 2013 之電腦上的系統管理員群組成員。
在管理中心的 [應用程式管理] 區段中,按一下 [管理 Web 應用程式]。
在功能區上,按一下 [新增]。
在「建立新的 Web 應用程式」頁面上,選取 [驗證] 區段中要用於此 Web 應用程式的驗證模式。
您可以在 [IIS 網站] 區段中選取下列兩個選項之一,以設定新 Web 應用程式的設定 (請參閱設定檔同步處理規劃工作表):
按一下 [使用現有的 IIS 網站],然後選取要安裝新 Web 應用程式的網站。
按一下 [建立新的 IIS 網站],然後在 [名稱] 方塊中輸入網站的名稱。
您也可以提供連接埠號碼、主機標頭或新 IIS 網站的路徑。
在 [安全性設定] 區段中,選取驗證提供者、是否允許匿名存取,以及是否使用 Secure Sockets Layer (SSL)。
在 [應用程式集區] 區段中,執行下列其中一項動作:
如果「My Site」應用程式集區 (請參閱設定檔同步處理規劃工作表) 是現有的應用程式集區,請按一下 [使用現有的應用程式集區],然後從下拉式功能表中選取「My Site」應用程式集區。
如果「My Site」應用程式集區 (請參閱設定檔同步處理規劃工作表) 是新應用程式集區,請按一下 [建立新的應用程式集區],然後輸入「My Site」應用程式集區的名稱,再選取執行應用程式集區所使用的帳戶 (請參閱設定檔同步處理規劃工作表),或建立新的受管理帳戶,以執行應用程式集區。
在 [資料庫名稱與驗證] 區段中,選取新 Web 應用程式的資料庫伺服器、資料庫名稱和驗證方法。
如果您使用資料庫鏡像,請在 [容錯移轉伺服器] 區段的 [容錯移轉資料庫伺服器] 方塊中,輸入您要與內容資料庫建立關聯的特定容錯移轉資料庫伺服器名稱。
在 [服務應用程式連線] 區段中,選取要用於 Web 應用程式的服務應用程式連線。
在 [客戶經驗改進計畫] 區段中,按一下 [是] 或 [否]。
按一下 [確定] 建立新的 Web 應用程式。
當「建立的應用程式」頁面顯示時,按一下 [確定]。
在設定檔同步處理規劃工作表的 [「我的網站」Web 應用程式] 列中,輸入 Web 應用程式的名稱。 您稍後將需要此資訊。
建立「我的網站」的管理路徑
如果您希望「我的網站」主機以及使用者的「我的網站」位於尚未使用管理路徑的 URL,請使用<在 SharePoint Server 中定義受管理的路徑>中的程序,在先前建立的「我的網站」Web 應用程式中建立「我的網站」管理路徑。 在大多數情況下,現有的管理路徑便已足夠。
建立「我的網站主機」網站集合
在此程序中,您會建立架設使用者的「我的網站」之網站集合。 如需如何建立網站集合的詳細指示,請參閱<在 SharePoint Server 中建立網站集合>。
若要建立「我的網站主機」網站集合
- 確認執行此程序的使用者帳戶具有下列認證:
執行此程序的使用者帳戶是伺服器陣列管理員
執行此程序的使用者帳戶是執行 SharePoint Server 2013 之電腦上的系統管理員群組成員。
在管理中心上,按一下 [應用程式管理] 區段中的 [建立網站集合]。
在「建立網站集合」 頁面上,選取 [Web 應用程式] 區段中的「My Site」Web 應用程式 (請參閱設定檔同步處理規劃工作表)。
在 [標題與描述] 區段中,輸入網站集合的標題及描述。
In the Web Site Address section, select the path of the URL for the My Site host. In most cases, you can use the root directory (/).
在 [範本選擇] 區段中,按一下 [企業] 索引標籤,然後選取 [我的網站主機]。
In the Primary Site Collection Administrator section, type the user name (in the form <DOMAIN>\ <user name>) for the user who will be the site collection administrator.
在 [次要網站集合管理員] 區段中,輸入網站集合次要管理員的使用者名稱。
若使用配額管理網站集合的儲存,請在 [配額範本] 區段中,按一下 [選取配額範本] 清單中的範本。
按一下 [確定]。
建立「My Site主機」網站集合之後,「成功建立頂層網站」頁面會隨即顯示 。 在設定檔同步處理規劃工作表的 [「我的網站主機」網站集合 URL] 列中,輸入此 URL。 雖然您可以按一下連結瀏覽至網站集合的根目錄,但是這麼做會導致無法載入使用者設定檔的錯誤。 這是預期的行為;此時尚未匯入使用者設定檔。
建立 User Profile Service 應用程式
在此程序中,您會建立管理設定檔同步處理的 User Profile Service 應用程式。
如需如何建立 User Profile Service 應用程式的詳細指示,請參閱<建立 User Profile Service 應用程式>。
若要建立 User Profile Service 應用程式
- 確認執行此程序的使用者帳戶具有下列認證:
執行此程序的使用者帳戶是伺服器陣列管理員
執行此程序的使用者帳戶是執行 SharePoint Server 2013 之電腦上的系統管理員群組成員。
在管理中心上,按一下 [應用程式管理] 區段中的 [管理服務應用程式]。
在「管理服務應用程式」頁面上,按一下功能區上的 [新增],然後按一下 [User Profile Service 應用程式]。
在 [名稱] 區段中,輸入 User Profile Service 應用程式名稱 (請參閱設定檔同步處理規劃工作表)。
在 [ 應用程式集 區] 區段中,選取 [使用者設定檔服務] 應用程式在) (中執行的應用程式集區,或建立新的應用程式集區。 (參閱設定檔同步處理規劃工作表。)
接受設定檔資料庫、同步處理資料庫及社交標記資料庫的預設設定 (除非想使用不同名稱),然後視需要指定容錯移轉伺服器。
在 [設定檔同步處理執行個體] 區段中,選取同步處理伺服器 (請參閱設定檔同步處理規劃工作表)。
在 [我的網站主機 URL] 區段中,輸入您在上一個步驟中建立的「My Site主機」網站集合 URL (請參閱設定檔同步處理規劃工作表)。
在 「我的網站」管理路徑 區段中,輸入路徑的一部分,附加至「我的網站」主機 URL 時,會指定使用者的「我的網站」路徑 (請參閱設定檔同步處理規劃工作表)。 例如,如果「我的網站」主機 URL 是 http://server:12345/,而您想要在每個使用者的「我的網站」為 http://server:12345/personal/user-name,則請在「我的網站」管理路徑中輸入 /personal。 系統會自動建立您輸入的管理路徑。 不再需要是您提供名稱的管理路徑。
在 [網站命名格式] 區段中,選取命名配置。
在 [預設 Proxy 群組] 區段中,選取是否要讓此 User Profile Service 的 Proxy 成為此伺服器陣列的預設 Proxy 群組之一部分。
按一下 [建立]。
在「建立新的 User Profile Service 應用程式」頁面顯示 [已成功建立設定檔服務應用程式] 訊息時,按一下 [確定]。
若要確認已建立 User Profile Service 應用程式,請重新整理 [ 管理服務應用程式 ] 頁面。 您應該會看到兩個專案,其 [ 名稱 ] 資料行中的值是您為先前建立的 User Profile Service 應用程式提供的名稱。 第一個專案是服務應用程式本身。 第二個專案是連線 (,也就是服務應用程式的「proxy」) 。
使用 PowerShell 啟用 User Profile Synchronization 的 NetBIOS 網域名稱
如果您同步處理之任何網域的 NetBIOS 名稱與其完整網域名稱不同,則必須在 User Profile Service 應用程式上啟用 NetBIOS 網域名稱。 如果所有 NetBIOS 名稱與網域名稱皆相同,您可以略過此程序。
若要使用 PowerShell 啟用 User Profile Synchronization 的 NetBIOS 網域名稱
- 確認您具備下列成員身分:
SQL Server 執行個體上的 securityadmin 固定伺服器角色。
所有要更新之資料庫上的 db_owner 固定資料庫角色。
正在執行 PowerShell Cmdlet 之所在伺服器上的系統管理員群組。
您必須閱讀 about_Execution_Policies。
系統管理員可以使用 Add-SPShellAdmin Cmdlet 授與使用 SharePoint Server 2013 Cmdlet 的權限。
注意事項
[!附註] 如果您不具備上述權限,請連絡安裝程式系統管理員或 SQL Server 系統管理員要求權限。 如需 PowerShell 權限的其他資訊,請參閱<權限>與<Add-SPShellAdmin>。
將下列程式碼貼到 [記事本] 等文字編輯器:
-
$ServiceApps = Get-SPServiceApplication $UserProfileServiceApp = "" foreach ($sa in $ServiceApps) {if ($sa.DisplayName -eq "<UPSAName>") {$UserProfileServiceApp = $sa} } $UserProfileServiceApp.NetBIOSDomainNamesEnabled = 1 $UserProfileServiceApp.Update() 將UPSAName > 取代 <為 User Profile Service 應用程式的名稱。
儲存檔案並新增 .ps1 副檔名,例如 EnableNetBIOS.ps1。
注意事項
您可以使用不同的檔案名稱,但是必須將檔案儲存為副檔名為 .ps1 的 ANSI 編碼文字檔。
啟動 SharePoint 2013 管理命令介面。
變更至您儲存檔案的目錄。
在 PowerShell 命令提示字元中,輸入下列命令:
& .\EnableNetBIOS.ps1
注意事項
[!附註] 建議您在執行命令列管理工作時使用 Windows PowerShell。 Stsadm 命令列工具已過時,但為與舊版產品相容,仍會隨附提供。
啟動 User Profile Service
在此程序中,您會啟動 User Profile Service。
若要啟動 User Profile Service
- 確認執行此程序的使用者帳戶具有下列認證:
執行此程序的使用者帳戶是伺服器陣列管理員
執行此程序的使用者帳戶是執行 SharePoint Server 2013 之電腦上的系統管理員群組成員。
在管理中心上,按一下 [系統設定] 區段中的 [管理伺服器上的服務]。
在「伺服器上的服務」頁面上,選取 [伺服器] 方塊中的同步處理伺服器 (請參閱設定檔同步處理規劃工作表)。
尋找 [服務] 欄值為 [User Profile Service] 的列。 如果 [狀態] 欄中的值為 [已停止],請按一下 [動作] 欄中的 [啟動]。
階段 1:啟動 User Profile Synchronization Service
在此階段中,您會啟動 User Profile Synchronization Service。
此階段包括下列工作:
若要執行此階段的工作,您必須是 SharePoint 伺服器陣列管理員群組成員,以及執行 SharePoint Server 2013 之電腦上的系統管理員群組成員。
啟動 User Profile Synchronization Service
在此程序中,您會啟動 User Profile Synchronization Service。 User Profile Synchronization Service 與 Microsoft Forefront Identity Manager (FIM) 互動,以與外部系統同步處理資訊。
若要啟動 User Profile Synchronization Service
- 確認執行此程序的使用者帳戶具有下列認證:
執行此程序的使用者帳戶是伺服器陣列管理員
執行此程序的使用者帳戶是執行 SharePoint Server 2013 之電腦上的系統管理員群組成員。
在管理中心上,按一下 [系統設定] 區段中的 [管理伺服器上的服務]。
在「伺服器上的服務」頁面上,選取 [伺服器] 方塊中的同步處理伺服器。
尋找 [服務] 欄值為 [User Profile Synchronization Service] 的列。 如果 [狀態] 欄中的值為 [已停止],請按一下 [動作] 欄中的 [啟動]。
在「User Profile Synchronization Service」 頁面上,選取 [選取使用者設定檔應用程式] 區段中的 User Profile Service 應用程式。
在 [服務帳戶名稱和密碼] 區段中,已選取伺服器陣列帳戶。 在 [密碼] 方塊中,輸入伺服器陣列帳戶的密碼,然後在 [確認密碼] 方塊中再輸入一次。
按一下 [確定]。
「伺服器上的服務」頁面會隨即顯示 User Profile Synchronization Service 的狀態為 [啟動中]。 當您啟動 User Profile Synchronization Service 時,SharePoint Server 2013 會佈建 FIM 參與同步處理。 這可能需要 10 分鐘。 若要判斷 User Profile Synchronization Service 是否已啟動,請重新整理「伺服器上的服務」 頁面。
如果 User Profile Synchronization Service 未啟動,請確認伺服器陣列帳戶具有同步處理伺服器上的必要權限。 如需所需權限的詳細資訊,請參閱<規劃設定檔同步處理>一文的<規劃帳戶權限>一節。
移除不必要的權限
啟動 User Profile Synchronization Service 之後,伺服器陣列帳戶不一定要是執行 Synchronization Service 之電腦上的系統管理員群組成員,才能執行日常作業。 若要改善 SharePoint Server 2013 安裝的安全性,請從執行 Synchronization Service 之電腦上的系統管理員群組中,移除伺服器陣列帳戶。 但是,當您執行使用者設定檔應用程式的備份時,Synchronization Service 會重新佈建使用者設定檔應用程式。 在佈建使用者設定檔應用程式的過程中,伺服器陣列帳戶必須停止並啟動 Synchronization Service。 若要執行此動作,此伺服器陣列帳戶必須是執行 Synchronization Service 之電腦上的系統管理員群組成員。 因此,執行備份之前,請將伺服器陣列帳戶新增至執行 Synchronization Service 之電腦上的系統管理員群組。 完成執行備份之後,您可以從系統管理員群組中移除伺服器陣列帳戶。
若要將 Microsoft FIM 2010 的遠端啟用權限授予伺服器陣列帳戶
在執行同步處理服務的伺服器上,按一下 [開始]。
按一下 [執行],並輸入 wmimgmt.msc,然後按一下 [確定]。
以滑鼠右鍵按一下 [WMI 控制],然後按一下 [內容]。
在 [ WMI 控制項屬性 ] 對話方塊中,按一下 [安全性] 索引 標籤。
展開 [根] 清單,然後選取 Microsoft FIM 2010 命名空間 [MicrosoftIdentityIntegrationServer]。
按一下 [安全性] 按鈕。
將伺服器陣列帳戶新增至群組及使用者的清單,然後在 [驗證使用者的權限] 方塊中,對於 [遠端啟用] 權限選取 [允許]。
按一下 [確定 ] 以關閉 [ROOT\MicrosoftIdentityIntegrationServer 的安全性 ] 對話方塊,然後按一下 [ 確定 ] 以關閉 [WMI 控制項屬性 ] 對話方塊。
重設 IIS
如果 SharePoint 管理中心網站和 User Profile Synchronization Service 在相同伺服器上執行,您必須在 User Profile Synchronization Service 啟動之後重設 IIS。 如果在不同伺服器上執行,則可略過此程序。
若要重設 IIS
- 確認執行此程序的使用者帳戶具有下列認證:
執行此程序的使用者帳戶是伺服器陣列管理員
執行此程序的使用者帳戶是執行 SharePoint Server 2013 之電腦上的系統管理員群組成員。
以提高的權限啟動命令提示字元。
在 [ 使用者帳戶控制] 對話方塊中,按一下 [ 是]。
在 [管理員: 命令提示字元] 視窗中,輸入 iisreset,然後按 ENTER。
在顯示 [網際網路服務已順利重新啟動] 訊息時,關閉 [管理員: 命令提示字元] 視窗。
注意事項
重設 IIS 之後,管理中心的頁面需要幾秒載入。
階段 2:設定連線並從目錄服務匯入資料
若要匯入設定檔,您至少必須具備一個連至目錄服務的同步處理連線。 在此階段中,您會建立要匯入設定檔之每個來源目錄服務的同步處理連線。 您可以在建立每個連線之後進行同步處理,或在建立所有連線之後一次進行同步處理。 在每個連線之後進行同步處理需要更長的時間,但是這麼做可以更容易對您可能遇到的任何問題進行疑難排解。
您必須是伺服器陣列管理員或 User Profile Service 應用程式的管理員,才可執行這些程序。 如果您不是伺服器陣列管理員,請使用 [管理設定檔服務] 頁面啟動每個程序。
此階段包括下列工作:
建立目錄服務的同步處理連線
在此程序中,您會建立目錄服務的連線。 此連線識別要同步處理的項目,並包含與目錄服務互動所使用的認證。 您輸入的資訊來自連線規劃工作表。
若要建立目錄服務的設定檔同步處理連線
- 確認執行此程序的使用者帳戶具有下列認證:
執行此程序的使用者帳戶是伺服器陣列管理員或 User Profile Service 應用程式的管理員。
執行此程序的使用者帳戶是執行 SharePoint Server 2013 之電腦上的系統管理員群組成員。
如果執行此程序的使用者帳戶是伺服器陣列管理員,請完成這些步驟。 如果使用者帳戶不是伺服器陣列管理員,請移至下一步:
在管理中心上,按一下 [應用程式管理] 區段中的 [管理服務應用程式]。
在「管理服務應用程式」頁面上,選取 [User Profile Service 應用程式]。
在管理中心的「管理設定檔服務」頁面上,按一下 [同步處理] 區段中的 [設定同步處理連線]。
在「同步處理連線」頁面上,按一下 [建立新連線]。
在「新增同步處理連線」頁面的 [連線名稱] 方塊中,輸入同步處理連線名稱。
從 [類型] 清單中,選取您要連線的目錄服務類型。
根據您建立連線的目錄服務,填入 [連線設定] 區段。
若是 Active Directory 網域服務 (AD DS),請遵循下列步驟:
在 [樹系名稱] 方塊中,輸入樹系的名稱。
執行下列其中一項動作:
如果樹系中只有一個網域控制站,請按一下 [自動探索網域控制站]。
如果樹系中有多個網域控制站,請按一下 [指定網域控制站],然後在 [網域控制站名稱] 方塊中,輸入網域控制站名稱。
在 [驗證提供者類型] 方塊中,選取驗證提供者的類型。
如果選取 [表單驗證] 或 [信任的宣告提供者驗證],請從 [驗證提供者執行個體] 方塊中選取驗證提供者。
[驗證提供者執行個體] 方塊只會列出 Web 應用程式目前使用的驗證提供者。
提示
您必須選取 [信任的宣告提供者驗證],然後在 [驗證提供者類型] 方塊中選取 [表單驗證],才會顯示驗證提供者清單。
在 [帳戶名稱] 方塊中,輸入同步處理帳戶。
在 [密碼] 方塊中,輸入同步處理帳戶的密碼。
在 [確認密碼] 方塊中,再次輸入同步處理帳戶的密碼。
在 [連接埠] 方塊中,輸入連線連接埠。
如果目錄服務的連線需要使用 Secure Sockets Layer (SSL) 連線,請選取 [使用 SSL 安全連線]。
重要事項
如果使用 SSL 連線,您必須從 Active Directory 伺服器匯出網域控制站的憑證,再將憑證匯入同步處理伺服器。
若是 Novell eDirectory、Sun Java System Directory Server 或 IBM Tivoli Directory Server (ITDS),請遵循下列步驟:
在 [目錄服務伺服器名稱] 方塊中,輸入目錄服務伺服器的名稱。
在 [驗證提供者類型] 方塊中,選取驗證提供者的類型。
在 [驗證提供者執行個體] 方塊中,選取驗證提供者。
[驗證提供者執行個體] 方塊只會列出 Web 應用程式目前使用的驗證提供者。
提示
您必須選取 [信任的宣告提供者驗證],然後在 [驗證提供者類型] 方塊中選取 [表單驗證],才會顯示驗證提供者清單。
在 [帳戶名稱] 方塊中,以 LDAP 格式輸入同步處理帳戶,例如,uid=username,ou=ouname,dc=yourcompany,dc=Com。
在 [密碼] 方塊中,輸入同步處理帳戶的密碼。
在 [確認密碼] 方塊中,再次輸入同步處理帳戶的密碼。
在 [連接埠] 方塊中,輸入連線連接埠。
確認未選取 [使用 SSL 安全連線] 核取方塊。 這些目錄服務不支援 SSL 連線。
在 [使用者名稱屬性] 方塊中,輸入目錄服務中做為每個設定檔唯一識別碼的屬性名稱。
在 [容器] 區段中,按一下 [填入容器],然後從您要同步處理的目錄服務中選取容器。
按一下 [確定]。
定義同步處理連線的排除篩選
在此程序中,您會定義連線的篩選,以指出要從同步處理中排除哪些使用者設定檔與哪些群詛。 您輸入的資訊來自連線規劃工作表。
若要定義連線篩選
- 確認執行此程序的使用者帳戶具有下列認證:
執行此程序的使用者帳戶是伺服器陣列管理員或 User Profile Service 應用程式的管理員。
執行此程序的使用者帳戶是執行 SharePoint Server 2013 之電腦上的系統管理員群組成員。
如果執行此程序的使用者帳戶是伺服器陣列管理員,請完成這些步驟。 如果使用者帳戶不是伺服器陣列管理員,請移至下一步:
在管理中心上,按一下 [應用程式管理] 區段中的 [管理服務應用程式]。
在「管理服務應用程式」頁面上,選取 [User Profile Service 應用程式]。
在管理中心的「管理設定檔服務」頁面上,按一下 [同步處理] 區段中的 [設定同步處理連線]。
在「同步處理連線」頁面上,於您要用於設定使用者設定檔同步處理連線篩選的連線上按一下滑鼠右鍵,然後按一下 [編輯連線篩選]。
在「編輯連線篩選」頁面上,選取 [使用者的排除篩選] 區段中要用於加入篩選子句的運算子。
若要指定所有篩選子句必須為真 (Ture),請選取 [全部套用 (AND)]。
若要指定至少要有一個篩選子句必須為真 (True),請選取 [任何套用 (OR)]。
在 [屬性] 清單中,選取要比較的目錄服務屬性。
在 [運算子] 清單中,選取要使用的比較運算子。
注意事項
可用的運算子取決於您選取的屬性資料類型。 如需每個資料類型的可用運算子清單,請參閱<SharePoint Server 2013 的連線篩選資料類型與運算子>。
在 [篩選] 方塊中,輸入要比較之屬性的值。
按一下 [新增]。
您新增的子句會顯示在 [使用者的排除篩選] 區域。
若要將子句新增至篩選,請重複步驟 5 到 9。
若要篩選已同步處理的群詛,請使用頁面的 [群組的排除篩選] 區段,重複步驟 5 到 9。
完成新增連線篩選之後,按一下 [確定]。
對應使用者設定檔屬性
在此程序中,您會決定 SharePoint Server 2013 使用者設定檔的屬性對應至擷取自目錄服務之使用者資訊的方式。 您應該已在使用者設定檔屬性工作表的 [使用者設定檔屬性] 資料表中,指定使用者設定檔屬性的對應方式。
在將使用者設定檔屬性對應至擷取自商務系統的資訊,以及對應可以如何使用 SharePoint Server 2013 中的使用者設定檔屬性將資訊寫回目錄服務的稍後階段中,將會返回此程序。 如果您尚未到達這些階段,請略過處理商務系統和匯出資料的程序部分。
對應使用者設定檔屬性
- 確認執行此程序的使用者帳戶具有下列認證:
執行此程序的使用者帳戶是伺服器陣列管理員或 User Profile Service 應用程式的管理員。
執行此程序的使用者帳戶是執行 SharePoint Server 2013 之電腦上的系統管理員群組成員。
如果執行此程序的使用者帳戶是伺服器陣列管理員,請完成這些步驟。 如果使用者帳戶不是伺服器陣列管理員,請移至下一步:
在管理中心上,按一下 [應用程式管理] 區段中的 [管理服務應用程式]。
在「管理服務應用程式」頁面上,選取 [User Profile Service 應用程式]。
在管理中心的「管理設定檔服務」頁面上,按一下 [人員] 區段中的 [管理使用者屬性]。
在「管理使用者屬性」頁面上,於您要對應至目錄服務屬性的 SharePoint Server 2013 屬性上按一下滑鼠右鍵,然後按一下 [編輯]。
若要移除現有對應,請在 [同步處理屬性對應] 區段中,選取您要移除的對應,然後按一下 [移除]。
若要新增對應,請執行下列動作:
在 [新增對應] 區段中,選取 [來源資料連線] 清單中代表要對應 SharePoint Server 2013 屬性之外部系統的資料連線。
在 [屬性] 清單中,選取要對應屬性之外部系統中的屬性名稱。
提示
如果資料類型相容,您可以只將使用者設定檔屬性對應至外部系統的屬性。 如果在嘗試建立新對應時,未列出您要對應至使用者設定檔的屬性,可能是因為使用者設定檔屬性與屬性之間的資料類型不符。 如需哪些資料類型為相容的詳細資訊,請參閱<SharePoint Server 2013 的使用者設定檔屬性資料類型>。
在 [方向] 清單中,選取對應方向。
[匯入] 方向表示外部系統中的屬性值會匯入 SharePoint Server 2013,並用以設定 SharePoint Server 2013 屬性的值。 [匯出] 方向表示 SharePoint Server 2013 中的屬性值會匯出至外部系統,並用以設定外部系統中的屬性值。
注意事項
您無法編輯對應。 若要變更對應方向,您必須先移除包含舊方向的對應,然後再建立新方向的對應並新增對應。
按一下 [新增]。
按一下 [確定]。
重複步驟 4 到 7,以對應其他屬性。
啟動設定檔同步處理
使用此程序同步處理 SharePoint Server 2013 與外部系統 (例如目錄服務或商務系統) 之間的設定檔資訊。
若要啟動設定檔同步處理
- 確認執行此程序的使用者帳戶具有下列認證:
執行此程序的使用者帳戶是伺服器陣列管理員或 User Profile Service 應用程式的管理員。
執行此程序的使用者帳戶是執行 SharePoint Server 2013 之電腦上的系統管理員群組成員。
- 如果您已經匯入使用者或建立「我的網站」,並已啟用 NetBIOS 網域名稱,在啟動設定檔同步處理之前,您必須停用「My Site」清除計時器工作。
注意事項
如需此計時器工作的資訊,請參閱<SharePoint Server 2013 中的預設計時器工作>。 如需用於啟用和停用此計時器工作的 PowerShell Cmdlet 資訊,請參閱<SharePoint Server 的 Cmdlet 參考>(英文)。
如果執行此程序的使用者帳戶是伺服器陣列管理員,請完成這些步驟。 如果使用者帳戶不是伺服器陣列管理員,請移至下一步:
在管理中心上,按一下 [應用程式管理] 區段中的 [管理服務應用程式]。
在「管理服務應用程式」頁面上,選取 [User Profile Service 應用程式]。
在管理中心的「管理設定檔服務」頁面上,按一下 [同步處理] 區段中的 [啟動設定檔同步處理]。
如果是第一次同步處理,或者自上次同步處理之後已新增或變更任何同步處理連線或屬性對應,請在「啟動設定檔同步處理」頁面上,選取 [啟動完整同步處理]。 如果只要同步處理自上次同步處理之後變更的資訊,請選取 [啟動累加同步處理]。
按一下 [確定]。
「管理設定檔服務」頁面會隨即顯示。
如果您要啟用「My Site」清除計時器工作,在啟用該工作之前,請完成下列額外的步驟:
如本節所述,請再次執行設定檔同步處理。
完成執行第二次設定檔同步處理之後,在管理中心的 [應用程式管理] 區段中,按一下 [管理服務應用程式]。
按一下 User Profile Service 應用程式的名稱,然後按一下 [管理使用者設定檔]。
在 [管理設定檔服務] 頁面上,按一下 [人員] 區段中的 [管理使用者設定檔]。
選取 [檢視] 旁的 [匯入時遺失的設定檔]。
在 [尋找設定檔] 方塊中,輸入設定檔的網域,然後按一下 [尋找]。
針對傳回的每個設定檔,檢查原始的目錄服務 (例如 Active Directory) 以取得該設定檔的狀態。 如果目錄中任何已傳回設定檔的狀態為未停用或未刪除,請不要啟用「My Site」清除計時器工作。 請連絡 Microsoft 支援人員以尋求協助。 或者,請啟用「My Site」清除計時器工作。 如需用於啟用和停用此計時器工作的 PowerShell Cmdlet 資訊,請參閱 SharePoint Server 的 Cmdlet 參考 (英文)。
完整同步處理可能很耗時。 當您重新整理「管理設定檔服務」頁面時,頁面右側會顯示同步處理工作的進度。 請注意,設定檔同步處理包含數個階段,且不會立即匯入設定檔。 進行同步處理時,不會自動重新整理「管理設定檔服務」頁面。
階段 3:設定連線並從商務系統匯入資料
您可以從人事系統或財務系統之類的商務系統匯入資料,然後使用該資料將屬性新增至現有的使用者設定檔。 您應該已建立外部內容類型,可將外部系統的資訊匯入至 SharePoint Server 2013。 如需如何建立外部內容類型以同步處理商務系統的詳細資訊,請參閱<規劃 SharePoint Server 2013 Preview 的設定檔同步處理>。
這是選用的階段。
您必須是伺服器陣列管理員,或 User Profile Service 應用程式及 Business Data Connectivity Service 應用程式的管理員,才可執行這些程序。 如果您不是伺服器陣列管理員,請在 [管理設定檔服務] 頁面上啟動每個程序。
此階段包括下列工作:
授與 User Profile Service 應用程式權限以使用外部內容類型
使用此程序授與伺服器陣列帳戶對外部內容類型執行作業的權限。 如需如何設定外部內容類型之權限的詳細資訊,請參閱<設定外部內容類型的權限>。
注意事項
Business Connectivity Services 使用外部內容類型的權限及商務系統的權限,來決定授權規則。 您必須確定伺服器陣列帳戶同時具備商務系統的存取權限。 如需關於驗證及權限的詳細資訊,請參閱<SharePoint Server 的 Business Connectivity Services 安全性工作概觀>。
若要授與 User Profile Service 應用程式權限以使用外部內容類型
- 確認執行此程序的使用者帳戶具有下列認證:
執行此程序的使用者帳戶是伺服器陣列管理員或 Business Data Connectivity Service 應用程式的管理員。
執行此程序的使用者帳戶具有同步處理之外部內容類型的「設定權限」。
- 如果執行此程序的使用者帳戶是伺服器陣列管理員,請完成此步驟。 如果使用者帳戶不是伺服器陣列管理員,請移至下一步:
- 在SharePoint 管理中心網站上,按一下 [應用程式管理] 區段中的 [管理服務應用程式]。
在管理中心的「管理服務應用程式」頁面上,選取 Business Data Connectivity Service 應用程式。
選取顯示您要同步處理的資訊之外部內容類型的核取方塊。
在 [權限] 群組中,按一下 [設定物件權限]。
在方塊中,輸入伺服器陣列帳戶,然後按一下 [新增]
In the Permissions for <account> box, select Execute.
注意事項
If the farm account is the only account that is listed in the Permissions for <account> box, you must also give the farm account Set Permissions to the external content type. At least one user, group, or claim in the external content type's access control list must have the Set Permissions permission.
按一下 [確定]。
確認已選取 [將權限傳播到這個外部內容類型的所有方法。這麼做將會覆寫現有權限。] 核取方塊。
重複這些步驟設定其他外部內容類型的權限。
設定 Business Data Connectivity 同步處理連線
在此程序中,您會建立每個外部內容類型的連線。 此連線會指定商務系統資料如何與設定檔屬性產生關聯。 您輸入的資訊來自連線規劃工作表。
若要建立使用者設定檔同步處理連線
- 確認執行此程序的使用者帳戶具有下列認證:
- 執行此程序的使用者帳戶是伺服器陣列管理員,或 User Profile Service 應用程式和 Business Data Connectivity Service 應用程式的管理員。
如果執行此程序的使用者帳戶是伺服器陣列管理員,請完成這些步驟。 如果使用者帳戶不是伺服器陣列管理員,請移至下一步:
在管理中心上,按一下 [應用程式管理] 區段中的 [管理服務應用程式]。
在「管理服務應用程式」頁面上,選取 [User Profile Service 應用程式]。
在管理中心的「管理設定檔服務」頁面上,按一下 [同步處理] 區段中的 [設定同步處理連線]。
在「同步處理連線」頁面上,按一下 [建立新連線]。
在「新增同步處理連線」頁面的 [連線名稱] 方塊中,輸入同步處理連線的名稱。
從 [類型] 清單中,選取 [Business Data Connectivity]。
在 [Business Data Connectivity 實體] 方塊中,輸入外部內容類型的名稱。
提示
如果您不清楚外部內容類型的名稱,請按一下 [選取外部內容類型] 按鈕,以檢視所有外部內容類型。 從清單中選取外部內容類型,然後按一下 [確定]。
如果每個使用者設定檔僅會對應至一個外部內容類型執行個體,請執行下列動作:
按一下 [以一對一對應的方式將「使用者設定檔儲存」連線至 Business Data Connectivity 實體]。
在 [傳回依此設定檔屬性識別的項目] 清單中,選取用於將使用者設定檔對應至外部內容類型執行個體的使用者設定檔屬性。 使用者設定檔屬性及外部內容類型識別碼定義使用者設定檔與外部內容類型之間的關聯為一對一,並可用以確保匯入的屬性套用至正確的使用者設定檔。
提示
[傳回依此設定檔屬性識別的項目] 清單會傳回所有具有與外部內容類型識別碼類似之資料類型的使用者設定檔屬性。
如果使用者設定檔可以對應至多個外部內容類型執行個體,請執行下列動作:
按一下 [以一對多對應的方式將「使用者設定檔儲存」連線至 Business Data Connectivity 實體]。
在 [篩選項目依據]清單中,選取要用於尋找套用至使用者設定檔之外部內容類型執行個體集合的篩選。
注意事項
[篩選項目依據] 清單會顯示在外部內容類型中定義的所有篩選。
在 [使用此設定檔屬性為篩選值] 清單中,選取用於將使用者設定檔對應至外部內容類型執行個體的使用者設定檔屬性。
按一下 [確定]。
重複步驟 4 到 10,以新增更多連線。
新增或編輯使用者設定檔屬性
您必須指定商務系統資料對應至使用者設定檔屬性的方式,才可以匯入商務系統資料。 使用者設定檔屬性工作表的 [使用者設定檔屬性] 資料工作表會列出您要匯入的商務系統屬性,以及這些屬性對應至 SharePoint Server 2013 設定檔儲存中之設定檔屬性的方式。
請遵循<對應使用者設定檔屬性>一節的程序對應其他使用者設定檔屬性。 如果資料對應至現有的使用者設定檔屬性,請編輯屬性,然後新增新的對應。 如果資料不是對應至現有的使用者設定檔屬性,請新增自訂屬性,然後對應該屬性。
匯入資料
若要從商務系統匯入資料,您必須執行完整同步處理。 請遵循<啟動設定檔同步處理>一節中的程序啟動完整同步處理。
階段 4:設定連線並將資料匯出至目錄服務
您已在先前的階段中設定需要的設定檔同步處理連線。 若要將設定檔資訊寫回目錄服務,您需要使用 [匯出] 的對應方向,將設定檔屬性對應至目錄服務屬性。 下次執行設定檔同步處理時,即會根據您設定的對應匯入及匯出屬性。
注意事項
雖然您可以使用 Business Connectivity Service 從商務系統匯入設定檔資料,但是您無法將設定檔資料匯出至商務系統。
這是選用的階段。
您必須是伺服器陣列管理員或 User Profile Service 應用程式的管理員,才可執行這些程序。 如果您不是伺服器陣列管理員,請使用 [管理設定檔服務] 頁面啟動每個程序。
請不要建立新同步處理連線以匯出屬性。 若要將屬性匯出至目錄服務,請使用您為了從目錄服務匯入屬性所建立的相同同步處理連線。 您無法將同步處理連線僅用於匯出屬性。
遵循程序重新對應使用者設定檔屬性,但這次請選取 [匯出] 做為對應方向。 您對應的屬性會隨即從 SharePoint Server 2013 匯出至具有所選連線的目錄服務。
遵循程序重新啟動設定檔同步處理,但這次請選取執行增量同步處理。 任何已對應要匯出至目錄服務屬性 (Attribute) 的 SharePoint Server 2013 設定檔屬性 (Property) 值會隨即更新。
注意事項
針對特定的目錄服務,您可能需要額外的權限才能將資料寫回目錄服務。 請檢閱<規劃設定檔同步處理>一文的<規劃帳戶權限>一節中的資訊,並確定同步處理帳戶具備必要權限。
致謝
SharePoint Server 2013 內容發佈小組感謝企業架構師 Spencer Harbar 對本文的貢獻。 其部落格網址為 http://www.harbar.net。
另請參閱
概念
在 SharePoint Server 中管理使用者設定檔同步處理