Résoudre des comptes dans plusieurs forêts (SharePoint Server 2010)
S’applique à : SharePoint Server 2010
Dernière rubrique modifiée : 2016-11-30
Microsoft SharePoint Server 2010 peut être déployé dans différentes configurations des services de domaine Active Directory, y compris dans les environnements comportant une seule forêt ou plusieurs forêts.
Lorsque vous envisagez de déployer SharePoint Server 2010 dans plusieurs forêts, deux configurations principales sont à votre disposition :
Déploiement avec forêt de ressources, dans lequel deux ou plusieurs forêts sont configurées avec une forêt d’ouverture de session unique qui contient des comptes d’utilisateur approuvés par un ou plusieurs domaines de ressources comportant des serveurs de fichiers et d’applications ;
Déploiements avec plusieurs forêts d’ouverture de session, dans lesquels deux ou plusieurs forêts contiennent les comptes d’utilisateur qui accèdent aux ressources par le biais d’approbations bidirectionnelles.
Notes
Il doit exister au moins une approbation à sens unique entre les forêts pour que les procédures décrites dans cet article fonctionnent correctement.
Pour plus d’informations sur la résolution des comptes dans plusieurs forêts et une illustration de la relation entre les forêts, voir le blog de l’équipe Microsoft SharePoint (éventuellement en anglais) (https://go.microsoft.com/fwlink/?linkid=186152&clcid=0x40C) (éventuellement en anglais).
Déploiement avec forêt de ressources
Dans une configuration avec forêt de ressources, tous les comptes d’utilisateur se trouvent dans une ou plusieurs forêts de niveau supérieur. Tous les utilisateurs utilisent des informations d’identification à partir de ces forêts pour ouvrir une session. Les serveurs de ressources, tels que Microsoft Exchange Server et SharePoint Server 2010, sont installés dans une forêt de ressources distincte, qui gère ensuite une approbation à sens unique avec chaque forêt de comptes. Pour chaque utilisateur qui accède à la forêt de ressources, celle-ci contient des comptes ombrés, qui ne sont pas des comptes d’ouverture de session. Les métadonnées sur l’utilisateur qui se trouvent dans la forêt de ressources proviennent de la propriété ms-ds-Source-Object du compte d’utilisateur.
Dans ce type de déploiement, SharePoint Server 2010 tire les informations Active Directory d’un conteneur dans l’annuaire de la forêt de ressources et base les profils utilisateur et la création du site Web Mon site sur ces informations.
Déploiements avec plusieurs forêts d’ouverture de session
Dans un déploiement avec plusieurs forêts d’ouverture de session, les comptes d’utilisateur sont répartis sur deux ou plusieurs forêts. En règle générale, il existe des approbations bidirectionnelles entre toutes les forêts. Ce scénario est souvent le résultat d’une fusion entre des organisations où il a été décidé de conserver les forêts existantes et de permettre aux utilisateurs d’accéder aux ressources se trouvant dans chaque forêt. Étant donné que de nombreuses applications existantes dépendent de la structure de forêt dans laquelle elles sont déployées, certains utilisateurs se voient accorder un compte dans chaque forêt à laquelle ils ont besoin d’accéder.
Dans ce type de déploiement, SharePoint Server 2010 est déployé dans l’une des forêts avec des connexions d’annuaire à chaque forêt qui héberge des comptes d’utilisateur. Ensuite, vous devez utiliser l’attribut de nom unique (ms-ds-Source-Object-DN
) dans l’objet utilisateur pour créer une association entre les comptes de l’utilisateur. Dans cette relation entre plusieurs comptes qui appartiennent à un même utilisateur, un compte fait office de compte principal, tandis que tous les autres comptes sont considérés comme des comptes de remplacement au compte principal. Vous pouvez utiliser Microsoft Forefront Identity Manager pour créer cette relation entre des objets de compte d’utilisateur.
Les expériences utilisateur correspondant aux différentes fonctionnalités sont répertoriées dans le tableau suivant :
Fonctionnalité | Expérience utilisateur |
---|---|
Page de profil et modèle objet |
SharePoint Server 2010 gère la liste des comptes de remplacement qui permettent d’identifier le profil. Lorsque vous utilisez l’un des comptes pour rechercher le profil d’un utilisateur, SharePoint Server 2010 retourne le profil du compte principal. |
Site Mon site |
Lorsque vous créez un site Web Mon site, SharePoint Server 2010 utilise le compte principal de l’utilisateur à cette fin. Tous vos comptes de remplacement sont automatiquement ajoutés au site en tant qu’administrateurs. |
Recherche de personnes |
La recherche de personnes retourne les informations relatives au compte principal de l’utilisateur. |
Audiences |
Les audiences dans SharePoint Server 2010 utilisent uniquement des comptes principaux. Toute règle qui contient un compte de remplacement pour un utilisateur utilise le compte principal pour cet utilisateur de manière interne. Étant donné que les comptes principal et de remplacement sont rapprochés, la hiérarchie de gestion sera la même pour ces deux comptes. |
Importation à partir du catalogue de données métiers |
Étant donné que SharePoint Server 2010 est tributaire des informations relatives au compte principal de chaque utilisateur, seules les données pouvant être identifiées par le compte d’utilisateur principal sont importées. Lors de la création d’une liste d’utilisateurs dans le catalogue de données métiers, utilisez le compte principal de chaque utilisateur. |
Synchronisation des appartenances |
SharePoint Server 2010 traite les sites auxquels un utilisateur appartient avec les comptes principal et de remplacement comme s’ils appartenaient tous au même compte d’utilisateur. Pour générer une liste plus précise des appartenances au site, SharePoint Server 2010 doit utiliser une requête identique à « SELECT docs FROM member site WHERE author = domain1\user OR author = domain2\user » pour que la liste contienne les sites dont l’utilisateur est membre avec n’importe quel compte d’utilisateur. |
Synchronisation des profils |
Toutes les modifications apportées au profil utilisateur sont répliquées dans tous les comptes d’utilisateur associés à l’utilisateur. Ainsi, les modifications telles que l’ajout d’une image au profil dans le site Mon site sont synchronisées dans tous les sites SharePoint Server 2010 indépendamment du compte sous lequel l’utilisateur ouvre une session. |
Préparer les serveurs Web frontaux
Le sélecteur de personnes adresse automatiquement des requêtes à tous les domaines avec approbation bidirectionnelle lorsqu’il utilise le compte du pool d’applications pour rechercher des utilisateurs et des groupes. Lorsque vous sélectionnez un compte secondaire dans le sélecteur de personnes, les informations du compte principal sont retournées.
Pour les approbations à sens unique, vous devez fournir les informations suivantes :
des informations d’identification avec autorisation d’interroger la forêt ;
une clé de chiffrement à utiliser lorsque le sélecteur de personnes effectue une requête.
Utilisez la procédure suivante pour préparer la clé de chiffrement pour chaque serveur Web frontal SharePoint Server 2010 devant utiliser ce compte.
Notes
Les procédures indiquées dans cette tâche nécessitent l’utilisation de l’outil en ligne de commande Stsadm. Celui-ci a été désapprouvé pour cette version, mais il est fourni à des fins de compatibilité avec les versions de produit précédentes.
Pour préparer les serveurs Web frontaux
Cliquez sur Démarrer, cliquez avec le bouton droit sur Invite de commandes, puis cliquez sur Exécuter en tant qu’administrateur.
Tapez la commande suivante :
stsadm.exe -o setapppassword -password <key>
Où <key> représente la clé de chiffrement à définir pour l’application Web.
Enregistrer les informations d’identification dans les forêts
SharePoint Server 2010 peut assurer le suivi d’une association entre des comptes d’utilisateur de plusieurs forêts afin de procurer une expérience utilisateur transparente. L’outil en ligne de commande stsadm vous permet d’établir cette relation entre les comptes, comme indiqué dans la procédure suivante.
Pour effectuer les étapes suivantes, vous devez être membre du groupe Administrateurs de batterie sur le serveur qui exécute SharePoint Server 2010.
Pour enregistrer les informations d’identification dans les forêts
Cliquez sur Démarrer, cliquez avec le bouton droit sur Invite de commandes, puis cliquez sur Exécuter en tant qu’administrateur.
Tapez la commande suivante :
stsadm.exe -o setproperty -url <http://server:port> -pn "peoplepicker-searchadforests" -pv "<forest:contoso.com;domain:corp.contoso.com>", <LoginName>,<Password>, <Key>
Où :
<http://server:port> représente l’URL de l’application Web que vous souhaitez rendre accessible ;
<forest:contoso.com;domain:corp.contoso.com> désigne le nom qualifié de la forêt et du domaine dans lesquels rechercher le compte d’utilisateur ;
<LoginName> est le nom du compte de l’utilisateur ;
<Password> correspond au mot de passe de l’utilisateur ;
<key> représente la clé de chiffrement à définir pour l’application Web.