Emboîtés Groupes AD ne se rapporte pas d'autorisations
https://sharepoint.stackexchange.com/questions/10076
-
16-10-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
J'ai une liste des groupes AD qui sont imbriquées les unes dans les autres et si j'attribuer un niveau d'autorisation au groupe supérieur nivelé, les individus ne semblent pas obtenir l'accès dont ils ont besoin. Voici une idée de comment cela fonctionne:
L'individu A B contient un Sous-groupe individuel Groupe C contient sous-groupe B
Groupe C a accès, et à chaque individu n'a pas accès. Cependant, si j'Affectez les accès individuel A directement alors il / elle l'a.
Toutes les idées sur les raisons qui est ou ce qui se passe mal?
La solution
Réponse :. L'un des groupes est pas configuré en tant que groupe Sécurité dans Active Directory
Il en est encore à toutes les versions de SharePoint et est la plus courante pour les sous-groupes imbriqués.
Pour vérifier : Contactez l'équipe qui maintient AD ou vérifier vous à l'aide d'un outil comme LDP: LDP Vue d'ensemble .
Ensuite, changer le groupe d'être un groupe de sécurité!
Autres questions :
Si vous ne trouvez pas le groupe dans le sélecteur de personnes du tout
- Vérifiez qu'il est un groupe de sécurité
- Vérifiez que vous pouvez trouver un autre groupe dans le même domaine
- Si vous ne pouvez faire 1 et 2 ci-dessus, vous devez vérifier que vous avez configuré le serveur pour rechercher le domaine que vous attendez. Voir Configurer le sélecteur de personnes dans SharePoint 2013 .
Autres conseils
Si votre groupe AD est un groupe de sécurité et que vous utilisez SharePoint 2013, la façon dont les groupes AD travaillent sont un peu différents. Chaque fois qu'un utilisateur se connecte à SharePoint, ils reçoivent un jeton qui est leur identité pour les groupes AD ils sont impliqués. Il y a une propriété du service de jeton de sécurité appelé Windows Token vie qui est l'expiration du jeton qui saisit alors un nouveau jeton avec les nouveaux changements à leurs membres. Le temps par défaut est de 10 heures. L'utilisation peut vérifier en utilisant:
$sts = Get-SPSecurityTokenServiceConfig
$sts.WindowsTokenLifetime
Le LogonTokenCacheExpirationWindow est la quantité de temps que SharePoint permettra comme un tampon pour ce jeton. Pour changer pour vérifier / expirer rapidement, utilisez le powershell suivant.
$sts = Get-SPSecurityTokenServiceConfig
$sts.WindowsTokenLifetime = (New-TimeSpan -Minutes 15)
$sts.LogonTokenCacheExpirationWindow = (New-TimeSpan -Minutes 15)
$sts.Update()
Si vous avez supprimé le groupe de sécurité, puis en utilisant AdRestore ou similaire , alors même si le SID reste le même, SharePoint 2013 qu'il considère comme un nouveau groupe et vous devez ajouter les autorisations à nouveau.
Il est évident que vous êtes en mesure de choisir le groupe en utilisant les sélecteur de personnes, même si elle est déjà choisi et inscrit sur la liste des membres!
Je sais que celui-ci est vieux, mais je veux juste donner un indice sur la vie que vous avez mentionné les jetons Windows: Si vous réduisez cette valeur dans la plage des minutes, les utilisateurs qui travaillent sur une page wiki pour écrire par exemple un article, perd complètement leur travail lorsque le jeton sera renouvelé.
