Windows-Server-2003
為不同域中的使用者授予對 SharePoint 的訪問權限
我剛剛在虛擬伺服器上完成了 SharePoint 網站的開發,目前正在將來自不同域的使用者授予該網站。我是開發人員,而不是網路管理員。虛擬伺服器不是域控制器,也沒有安裝 Active Directory。SharePoint 域是 SHAREPOINT,而我要授予訪問權限的使用者所在的域是 COMPANY。它們通過 LAN 連接。我已經為他們提供了指向該站點的連結,並通過 SharePoint 和 SQL Server 將他們添加為使用者,這是我認為我需要做的所有事情。但是,當他們轉到該連結時,該網站會向他們顯示一個 SharePoint 錯誤頁面,告訴他們訪問被拒絕。問題歸結為 SharePoint 的自定義 Web 元件。如果我從索引頁面中刪除該 Web 元件,他們就可以正常訪問它。
在安全事件日誌中,我顯示以下內容:
Event Type: Failure Audit Event Source: Security Event Category: Object Access Event ID: 560 Date: 3/18/2010 Time: 11:11:49 AM User: COMPANY\ThisUser Computer: SHAREPOINT Description: Object Open: Object Server: Security Account Manager Object Type: SAM_ALIAS Object Name: DOMAINS\Account\Aliases\00000404 Handle ID: - Operation ID: {0,1719489} Process ID: 416 Image File Name: C:\WINDOWS\system32\lsass.exe Primary User Name: SHAREPOINT$ Primary Domain: COMPANY Primary Logon ID: (0x0,0x3E7) Client User Name: ThisUser Client Domain: PRINTRON Client Logon ID: (0x0,0x1A3BC2) Accesses: AddMember RemoveMember ListMembers ReadInformation Privileges: - Restricted Sid Count: 0 Access Mask: 0xF
然後,連續四個:
Event Type: Failure Audit Event Source: Security Event Category: Object Access Event ID: 560 Date: 3/18/2010 Time: 11:12:08 AM User: NT AUTHORITY\NETWORK SERVICE Computer: SHAREPOINT Description: Object Open: Object Server: SC Manager Object Type: SERVICE OBJECT Object Name: WinHttpAutoProxySvc Handle ID: - Operation ID: {0,1727132} Process ID: 404 Image File Name: C:\WINDOWS\system32\services.exe Primary User Name: SHAREPOINT$ Primary Domain: COMPANY Primary Logon ID: (0x0,0x3E7) Client User Name: NETWORK SERVICE Client Domain: NT AUTHORITY Client Logon ID: (0x0,0x3E4) Accesses: Query status of service Start the service Query information from service Privileges: - Restricted Sid Count: 0 Access Mask: 0x94
任何想法我需要授予使用者哪些權限才能讓他們訪問 SharePoint?
我確實有一個來自其他域的使用者能夠正常查看該頁面。對於此使用者,我授予他以下權限:有什麼方法可以將該使用者與其他使用者進行比較,並查看可能需要添加哪些權限?
我也認為域信任對您的任務來說是個好主意。我有成功的經驗:在我的例子中,每個域都有自己的基於 MOSS 2007 的 Intranet 門戶。有必要為來自兩個域的使用者提供對兩個門戶的訪問。我們在林之間建立了雙向信任關係並授予了所有必要的權限。我的環境是標準的:AD,2003,MOSS 2007。
在我看來,還有另外兩種方法。可能它們對你會更好:
- 如果您的兩個域都在一個安全的 LAN 網路中,您可以允許匿名訪問您的門戶。
- 您可以在您的域中為來自外部域的使用者創建帳戶。在這種情況下,來自外部域的使用者將需要使用基於表單的身份驗證(不是 Windows 身份驗證)
您可以混合使用這兩種方法。假設您可以為所有人授予匿名讀取訪問權限,並在您的域中為需要在 Intranet-portal 上的貢獻者權限的使用者創建幾個帳戶。