Разрешение менеджера по нескольким доменам во время синхронизации профиля пользователя

Question

При использовании соединений Active Directory в нескольких доменах (с двусторонним доверием) можно ли иметь разрешение (во время синхронизации) поля менеджера, когда менеджер существует в другом домене?

Работа со следующим примером пользователей:

• Domaina Manager1
• Domainb Manager1
• Domainb user1

Если менеджер Domainb user1 в AD установлен в Domainb Manager1, разрешение в профиле пользователя происходит без проблем. Если менеджер установлен в Domaina Manager1, разрешение не происходит, и поле менеджера не отображается в профиле пользователя.

Answer 1

Отсутствие разрешения менеджера между доменами было связано с использованием множественных соединений синхронизации. При использовании 1 -синхронизационного соединения для леса разрешение произошло без проблем.

Answer 2

Да, FIM работает с двусторонними трастами ... Я подозреваю, что это конфигурация или проблема с разрешениями.

У вас есть настройка подключений профиля пользователя, чтобы синхронизировать пользователей из обоих доменов? Вы предоставили учетной записи синхронизации профиля пользователя правильные разрешения на чтение на обоих доменах?

Answer 3

Убедитесь, что вы включили имена NetBios. Это была одна из проблем, с которыми я столкнулся при настройке нескольких доменов, а пользователи из других доменов - менеджеры. Сделав следующее через PowerShell, но, к сожалению, вам нужно удалить все соединения синхронизации после запуска сценария и воссоздать их, чтобы сделать настройку эффективной.

NB: Get-SPServiceApplication дает вам все приложения, и вы можете использовать их для получения приложения службы профиля пользователя

$var = Get-SPServiceApplication –Identity {Application GUID}
$var.NetBiosDomainNamesEnabled
$var.NetBiosDomainNamesEnabled = “True”
$var.update()
$var.NetBiosDomainNamesEnabled