我的公司通过Active Directory彻底组织了数千名员工。 我有信心在用户configuration文件中显示的部门和标题信息的准确性。
我正在帮助build立一个全新的SharePoint 2007站点,并联系了IT部门通过AD组pipe理站点权限。 目标是让网站根据AD中的信息自动分配读/写/贡献/任何权限。
例如,我们可以创build一个名为“经理”的AD组,其中包含AD用户configuration文件中具有“经理”标题的任何人。 如果我知道所有的pipe理者需要一定的访问级别(读/写/贡献/任何),我会让SharePoint利用这个AD组来批量分配权限。 那么,如果一个经理join公司或者离开公司,那么这个小组会自动更新(当然提供了公元更新)。
我的IT代表回电并表示无法完成。 这似乎是一个非常简单的业务需求,并具有Active Directory的巨大好处之一,但也许我错了。
任何人都可以点亮这个?
A)当通过SharePoint分配权限时是否可以使用dynamic更新的AD组? (有谁知道一个指导,我可以显示我怀疑的IT代表?)
B)是否有一个“最佳实践”的方式去做呢? 我已经阅读了一些有关SharePoint组或AD组是否要走的争论。 我主要关心的是dynamic更新。
C)如果这不是开箱即用的,有人可以推荐第三方软件来提供我正在寻找的function吗?
非常感谢任何人可以帮助我!
如果将“pipe理员”AD组设置为SharePoint中的某个权限,则将为该组中的所有用户填充该权限级别。 任何添加到AD组的pipe理员都将立即传播到关联的权限。 这里面的问题在于,你想根据来自AD的数据而不是组本身的权限来分离权限。
AD组是最好的select。 他们可以很容易地更新,容易在AD追踪,和SharePoint不必跟踪所有的用户。 只需将AD组分配给网站集,网站,列表,文件夹或文档的权限级别即可。
此类“search组”目前无法在Active Directory中创build。
也就是说,你可以用足够的脚本和批处理来伪造它。 这不会是实时的,但它会让你在那里。 我们正在使用类似的stream程来创build基于员工代码(E1,E5等)的组。 它从我们的人事制度出口,并根据这些出口修改集团。 它每天运行一次。
更新:
你可以使用WinXP和更高版本的工具来做一个相当简单的版本:
dsquery * -filter(&(objectClass = User)(department = Facilities)) – 限制5000 | dsmod组“CN = grp.departments.Facilities,OU = DepGroups,DC =您,DC =域,DC =在这里”-addmbr
这将查询DS所有的用户对象与部门设置为“设施”( dsquery *部分),并将其pipe道到一个命令,将修改“grp.departments.facilities”的成员与查询返回的信息( dsmod group部分)。 你必须为每个部门制作一个版本,但是这将会做你正在寻找的东西。