userprofile同步用户失败的原因和解决方案
userprofile同步账号进行出现同步不到用户。有个时候同步成功了但是为0个用户。有个时候提示同步失败或拒绝等错误。如何查看同步服务同步的结果。其实明白sharepoint2010同步用户的原理都知道。userprofile服务其实调用的是FIM产品,具体位置在:
C:\Program Files\Microsoft Office Servers\14.0\Synchronization Service\UIShell下的miisclient工具。如下图:
如下图为userprofile同步服务的流程图
错误原因之一如下:
后来经过摸索,发现同步账号复制AD需要权限的,具体解决方案如下:
规划帐户权限
在“连接规划”工作表中,您为每个目录服务提供了一个同步帐户名称。必须向这些同步帐户授予特定权限,以便同步服务可从目录服务中获取所需信息。以下各节将介绍各种类型的目录服务需要的权限。请与目录服务管理员合作,以向帐户授予相应的权限。
Active Directory 域服务 (AD DS)
用于与 Active Directory 域服务 (AD DS) 的连接的同步帐户必须具有以下权限:
-
它必须具有对将与之同步的域的复制目录更改权限。有关详细信息,请参阅“授予 Active Directory 域服务权限以同步配置文件”过程参考文章的授予对域的复制目录更改权限一节。
注意:
复制目录更改权限允许帐户查询目录中的更改。此权限不允许帐户在目录中进行任何更改。
-
如果域控制器运行的是 Windows Server 2003,则同步帐户必须是 Pre-Windows 2000 Compatible Access 内置组的成员。有关详细信息,请参阅“授予 Active Directory 域服务权限以同步配置文件”过程参考文章的向 Pre-Windows 2000 Compatible Access 组添加帐户一节。
-
如果域的 NetBIOS 名称不同于完全限定的域名,则同步帐户必须对 cn=configuration 容器具有复制目录更改权限。例如,如果 NetBIOS 域名为 contoso,完全限定的域名为 contoso-corp.com,则必须授予对 cn=configuration 容器的复制目录更改权限。有关详细信息,请参阅“授予 Active Directory 域服务权限以同步配置文件”过程参考文章的授予对 cn=configuration 容器的复制目录更改权限一节。
-
如果要将属性值从 SharePoint Server 导出到 AD DS,则同步帐户必须对要与之同步的组织单位 (OU) 具有创建子对象(此对象及所有后代)和写入所有属性(此对象及所有后代)权限。有关详细信息,请参阅“授予 Active Directory 域服务权限以同步配置文件”过程参考文章的授予创建子对象和写入权限一节。
?
授予 Active Directory 域服务权限以同步配置文件 (SharePoint Server 2010)(具体操作方法)
?
http://technet.microsoft.com/zh-cn/library/hh296982(v=office.14).aspx
?
配置后再同步。可以看到如下成功信息