Konfigurieren von Profilsynchronisierung mithilfe von SharePoint Active Directory Import in SharePoint Server

GILT FÜR:yes-img-132013 yes-img-162016 yes-img-192019 yes-img-seSubscription Edition no-img-sopSharePoint in Microsoft 365

Sie können die SharePoint Active Directory-Importoption (AD-Import) als Alternative zur Verwendung von Microsoft Identity Manager (MIM) verwenden, um Benutzerprofildaten aus Active Directory Domain Services (AD DS) in Ihrer Domäne zu importieren.

Importvorgänge, die AD-Import verwenden, sind viel schneller als dieselben Vorgänge, die MIM verwenden. Der AD-Import funktioniert jedoch nur mit Active Directory Domain Services (AD DS) und nicht mit anderen Verzeichnisdiensten. Wenn Sie ad Import verwenden möchten, sind MIM oder andere externe Identitäts-Manager außerdem nicht für Verbindungen mit anderen Datenquellen wie Geschäftsanwendungen verfügbar.

Zum Ausführen der Verfahren in diesem Artikel müssen Sie Mitglied der Gruppe Farmadministratoren sein. Außerdem benötigen Sie Domänenanmeldeinformationen mit Synchronisierungsberechtigungen, um die Verbindung zu konfigurieren.

Hinweis

MIM ist ein externer Anbieter, der nur in SharePoint Server 2016 und SharePoint Server 2019 verfügbar ist.

Erfahren Sie mehr über die Benutzerprofilsynchronisierung für SharePoint in Microsoft 365.

Situationen, die vom AD-Import nicht unterstützt werden

Berücksichtigen Sie folgende Situationen, und beachten Sie, was die Option für den AD-Import nicht unterstützt, wenn Sie sich für die Verwendung dieser Option entscheiden:

  • Die AD-Importoption führt keine bidirektionale Synchronisierung durch. Das bedeutet, dass Änderungen, die an SharePoint-Benutzerprofilen vorgenommen wurden, nicht zurück auf den Domänencontroller synchronisiert werden.

  • Referenzielle Integrität zwischen Benutzern und Gruppen wird nur innerhalb einer einzigen Active Directory-Gesamtstruktur aufrechterhalten.

  • Bei der Option für den AD-Import können Sie nur eine einzige, farmweite Eigenschaftenzuordnung konfigurieren und verwenden.

  • Die AD-Importoption synchronisiert Nicht automatisch Fotos aus Active Directory mit SharePoint Server 2016.

  • Die AD-Importoption unterstützt keine generischen (nicht-AD) LDAP-Quellen.

  • Die AD-Importoption unterstützt die Quellschemaermittlung nicht.

  • Die AD-Importoption unterstützt Szenarios mit mehreren Gesamtstrukturen nicht. Beispiel:

    • Wenn eine Vertrauensstellung zwischen zwei Gesamtstrukturen besteht, werden die vertrauenswürdigen Strukturobjekte nicht importiert.

    • Der AD-Import unterstützt das Importieren von Benutzern aus mehreren Domänen, sofern Sie eine Synchronisierungsverbindung pro Domäne erstellen. Alternativ können Sie Microsoft Identity Manager verwenden.

  • Die AD-Importoption unterstützt keine Kontaktobjekte (auch als objektübergreifende Verweise bezeichnet).

  • Die AD-Importoption unterstützt neben Benutzern und Gruppen keine benutzerdefinierten Objektklassen.

  • Die AD-Importoption filtert die Benutzeroberfläche nicht, um komplexe boolesche Ausdrücke zu erstellen.

  • Die AD-Importoption bietet keinen Objektfilter auf Grundlage der Objekteigenschaftswerte (Sie müssen einfache LDAP-Filter verwenden).

  • Die AD-Importoption bietet keine Anmelde- und Ressourcenstrukturunterstützung, d. h. benutzerdefinierte Verknüpfungen von Daten aus mehreren Quellen.

  • Die AD-Importoption unterstützt den Business Connectivity Services-Import nicht.

  • Die AD-Importoption unterstützt Eigenschaftszuordnungen für komplexe Typen wie Bilder und spezielle AD-Typen nicht.

  • Die AD-Importoption unterstützt das Exportieren von Daten aus SharePoint in Verzeichnisquellen nicht.

  • Die AD-Importoption unterstützt weder das Upgraden/Übersetzen von FIM-basierten Verbindungen noch das Synchronisieren von Konfigurationen mit AD-Import (oder in umgekehrter Reihenfolge).

  • Die AD-Importoption stellt Single-Master der einzelnen Objekteigenschaften (zur Zeit gewinnt der letzte Schreiber) nicht sicher.

  • Die AD-Importoption führt keine Eigenschaftszuordnung pro Mandant durch.

Einrichten des SharePoint Active Directory-Imports

In der Zentraladministration führen Sie drei Verfahren aus, um den AD-Import zu konfigurieren.

Im ersten Verfahren konfigurieren Sie SharePoint Server so, dass AD Import anstelle eines externen Identitäts-Managers wie MIM verwendet wird.

Im zweiten Verfahren erstellen Sie eine Synchronisierungsverbindung mit AD DS. Die Verbindung identifiziert die zu synchronisierenden Elemente und enthält die Anmeldeinformationen, die für die Interaktion mit AD DS verwendet werden.

Im dritten Verfahren bestimmen Sie, wie die Eigenschaften von Benutzerprofilen in SharePoint Server den Benutzerinformationen zugeordnet werden, die aus AD DS abgerufen werden.

So konfigurieren Sie SharePoint Server für die Verwendung von AD Import

  1. Klicken Sie in der die Website für die SharePoint-Zentraladministration im Abschnitt Anwendungsverwaltung auf Dienstanwendungen verwalten.

  2. Klicken Sie auf der Seite Dienstanwendungen verwalten auf den Link der Benutzerprofildienstanwendung.

  3. Klicken Sie auf der Seite Profildienst verwalten im Abschnitt Synchronisierung auf Synchronisierungseinstellungen konfigurieren.

  4. On the Configure Synchronization Settings page, in the Synchronization Options section, select the Use SharePoint Active Directory Import option, and then click OK.

Um Profile importieren zu können, benötigen Sie mindestens eine Synchronisierungsverbindung zu AD DS. Sie können auch Verbindungen zu mehreren AD DS-Servern haben. Erstellen Sie mit dem folgenden Verfahren eine Synchronisierungsverbindung mit jedem AD DS-Server, von dem Sie Profile importieren möchten. Sie können die Synchronisierung nach der Erstellung der einzelnen Verbindungen ausführen oder nachdem Sie alle Verbindungen erstellt haben. Obwohl die Synchronisierung nach jeder Verbindung länger dauert, erleichtert der Prozess die Behandlung von Problemen, die auftreten können.

So erstellen Sie eine Verbindung mit einem Verzeichnisdienst für den Import

  1. Klicken Sie in der die Website für die SharePoint-Zentraladministration im Abschnitt Anwendungsverwaltung auf Dienstanwendungen verwalten.

  2. Klicken Sie auf der Seite Dienstanwendungen verwalten auf den Link der Benutzerprofildienstanwendung.

  3. Klicken Sie auf der Seite Profildienst verwalten im Abschnitt Synchronisierung auf Synchronisierungsverbindungen konfigurieren.

  4. Klicken Sie auf der Seite Synchronisierungsverbindungen auf Neue Verbindung herstellen.

  5. Geben Sie auf der Seite Neue Synchronisierungsverbindung hinzufügen im Feld Verbindungsname den Namen der Synchronisierungsverbindung ein.

  6. Wählen Sie in der Liste Typ die Option Active Directory-Import aus.

  7. Führen Sie im Abschnitt Verbindungseinstellungen die folgenden Schritte aus:

    1. Geben Sie im Feld Vollqualifizierter Domänenname den vollqualifizierten Domänennamen der Domäne ein.

    2. Wählen Sie im Feld Authentifizierungsanbietertyp den Typ des Authentifizierungsanbieters aus.

    3. Wenn Sie Formularauthentifizierung oder Vertrauenswürdige Forderungsanbieterauthentifizierung auswählen, wählen Sie im Feld Authentifizierungsanbieterinstanz einen Authentifizierungsanbieter aus.

      Im Feld Authentifizierungsanbieterinstanz werden nur die Authentifizierungsanbieter aufgelistet, die derzeit von einer Webanwendung verwendet werden.

    4. Geben Sie im Feld Kontoname den Namen des Kontos ein, mit dem das AD-Importtool die Synchronisierung durchführen soll. Verwenden Sie das Formular <DOMAIN>\ <UserName>. Das Synchronisierungskonto muss über Die Berechtigung Verzeichnis replizieren im Stammverzeichnis der Gesamtstruktur verfügen.

    5. Geben Sie in den Feldern Kennwort und Kennwort bestätigen das Kennwort für das Konto ein.

    6. Geben Sie im Feld Port den Verbindungsport ein, mit dem das AD-Importtool eine Verbindung mit AD DS für die Synchronisierung herstellen soll.

    7. Wenn für die Verbindung mit dem Verzeichnisdienst eine SSL-Verbindung (Secure Sockets Layer) erforderlich ist, wählen Sie SSL-gesicherte Verbindung verwenden aus.

      Wichtig

      Wenn Sie eine SSL-Verbindung verwenden, müssen Sie das Zertifikat des Domänencontrollers vom AD DS-Server exportieren und das Zertifikat in den Synchronisierungsserver importieren, wenn das SSL-Zertifikat von den SharePoint-Servern nicht als vertrauenswürdig eingestuft wird.

    8. Wenn Sie Benutzer herausfiltern möchten, die in AD DS deaktiviert sind, aktivieren Sie das Kontrollkästchen Deaktivierte Benutzer herausfiltern .

    9. Wenn Sie die aus dem Verzeichnisdienst zu importierenden Objekte filtern möchten, geben Sie im Feld Filter in LDAP-Syntax für Active Directory-Import einen Standard-LDAP-Abfrageausdruck ein, um den Filter zu definieren.

    10. Klicken Sie im Abschnitt Container auf Container mit Daten auffüllen, und wählen Sie dann im Verzeichnisdienst die zu synchronisierenden Container aus. Alle ausgewählten Organisationseinheiten werden mit ihren untergeordneten Organisationseinheiten synchronisiert. Derzeit gibt es kein Hilfsprogramm zum Auswählen einer übergeordneten Organisationseinheit und gleichzeitigen Ausklammern der untergeordneten Organisationseinheiten von der Synchronisierung.

      Hinweis

      Das Filtern von Objekten erfolgt nur während des anfänglichen Imports dieses Objekts. Änderungen am Filter nach dem Import wirken sich nicht auf Objekte aus, die bereits importiert wurden.

    11. Klicken Sie auf OK.

      Die neu erstellte Verbindung wird auf der Seite Synchronisierungsverbindungen aufgeführt.

      Tipp

      Auf der Seite Synchronisierungsverbindungen können Sie auf den Namen einer Synchronisierungsverbindung und dann auf Bearbeiten oder Löschen klicken, um die Verbindung zu bearbeiten oder zu löschen.

So ordnen Sie Benutzerprofileigenschaften zu

  1. Klicken Sie in der die Website für die SharePoint-Zentraladministration im Abschnitt Anwendungsverwaltung auf Dienstanwendungen verwalten.

  2. Klicken Sie auf der Seite Dienstanwendungen verwalten auf den Link für die Benutzerprofildienstanwendung.

  3. Klicken Sie auf der Seite Profildienst verwalten im Abschnitt Personen auf Benutzereigenschaften verwalten.

  4. Klicken Sie auf der Seite Benutzereigenschaften verwalten auf den Namen der Eigenschaft, die Sie einem Verzeichnisdienst-Attribut zuordnen möchten, und klicken Sie dann auf Bearbeiten.

  5. Um eine vorhandene Zuordnung zu entfernen, wählen Sie im Abschnitt Eigenschaftenzuordnung für die Synchronisierung die zu entfernende Zuordnung aus, und klicken Sie auf Entfernen.

  6. Um eine neue Zuordnung hinzuzufügen, führen Sie die folgenden Aufgaben aus:

    1. Wählen Sie im Abschnitt Neue Zuordnung hinzufügen in der Liste Quelldatenverbindung die Datenverbindung aus, die dem Verzeichnisdienst entspricht, dem Sie die Benutzerprofileigenschaft zuordnen möchten.

    2. Geben Sie im Feld Attribut den Namen des Verzeichnisdienstattributs ein, dem Sie die Eigenschaft zuordnen möchten.

    3. Klicken Sie auf Hinzufügen.

      Hinweis

      Es ist nicht möglich, eine Zuordnung zu bearbeiten oder mehrere Zuordnungen hinzuzufügen. Wenn Sie Zuordnungseinstellungen für eine Eigenschaft ändern möchten, müssen Sie zuerst die vorhandene Zuordnung entfernen und dann eine neue Zuordnung erstellen.

  7. Klicken Sie auf OK.

  8. Wiederholen Sie die Schritte 4 bis 7, um weitere Eigenschaften zuzuordnen.

So starten Sie die Profilsynchronisierung

  1. Klicken Sie in der die Website für die SharePoint-Zentraladministration im Abschnitt Anwendungsverwaltung auf Dienstanwendungen verwalten.

  2. Klicken Sie auf der Seite Dienstanwendungen verwalten auf den Link für die Benutzerprofildienst-Anwendung.

  3. Klicken Sie auf der Seite Profildienst verwalten im Abschnitt Synchronisierung auf Profilsynchronisierung starten.

  4. Wählen Sie auf der Seite Profilsynchronisierung starten die Option Vollständige Synchronisierung starten aus, wenn Sie Synchronisierungsverbindungen seit der letzten Synchronisierung hinzugefügt oder geändert haben. Wählen Sie Inkrementelle Synchronisierung starten aus, um nur die Informationen zu synchronisieren, die sich seit der letzten Synchronisierung geändert haben.

  5. Klicken Sie auf OK.

    Die Seite Profildienst verwalten wird angezeigt, auf der Sie im rechten Bereich den Status der Profilsynchronisierung sehen.

Siehe auch

Konzepte

Verwalten der Benutzerprofilsynchronisierung in SharePoint Server

Planen der Profilsynchronisierung für SharePoint Server 2013

Synchronisieren von Benutzer- und Gruppenprofilen in SharePoint Server 2013 Preview

Planen der Profilsynchronisierung in SharePoint Server

Weitere Ressourcen

Update-SPProfilePhotoStore