sábado, 19 de abril de 2014

Permiso: Replicate Directory Changes

Cuando realizamos una sincronización de perfiles de usuario del AD a Sharepoint, la cuenta de usuario que realiza la importación debe tener el permiso Replicate Directory Changes sobre el dominio sobre el cual queremos realizar la sincronización.

NetBiosDomainNamesEnabled

Para hacerlo podemos seguir el siguiente artículo:http://technet.microsoft.com/en-us/library/hh296982(v=office.15).aspx#RDCdomain

Este permiso permite que una cuenta consulte por cambios en el directorio.

Hay un caso especial donde se requerirá un permiso especial para poder importar correctamente la información. Veamos los dos casos posibles:

  1. El nombre NETBIOS de cualquier dominio con el que está realizando la sincronización es IGUAL a su nombre de dominio completo (FQDN)
  2. El el nombre NETBIOS de cualquier dominio con el que está realizando la sincronización es DIFERENTE de su nombre de dominio completo (FQDN)

Cómo podemos saber el NETBIOS de nuestro dominio? Una posibilidad es usar “Active Directory Users and Computers”, click derecho sobre el dominio y “Properties”.

También podems averiguarlo mediante nbtstat –n

Para el caso 1, necesitaremos el permiso Replicate Directory Changes sobre el dominio sobre el cual queremos realizar la sincronización.

Para el caso 2, necesitaremos un permiso especial más, además del seteado en el caso 1.

Por ej: suponemos que nuestro dominio sea

Domain netbios name: CONTOSO

FQDN of Domain: contoso.corp.com

El permisos que necesitaremos es el de Replicate Directory Changes sobre el container (CN) de configuration de nuestro dominio.(Procedimiento)

CN=Configuration, DC=corp,DC=com

clip_image007

En el segundo caso también deberemos setear la propiedad NetBiosDomainNamesEnabled en el User Profile de nuestra granja.

Ej:

  • Get-SPServiceApplication
    • Obtendremos el GUID del User Profile Service Application
  • $var = Get-SPServiceApplication –Identity GUID
    • El GUID es el obtenido del paso anterior Get-SPServiceApplication
  • $var.NetBiosDomainNamesEnabled = 1
    • En vez de 1 también podremos usar “True”
  • $var.update()
  • $var.NetBiosDomainNamesEnabled
    • Verifico si quedo correctamente seteado
  • Realizar un IISreset

No hay comentarios:

Publicar un comentario