web-dev-qa-db-ja.com

別のドメインのユーザーにSharePointへのアクセスを許可する

仮想サーバー上でSharePointサイトの開発を完了したばかりで、現在、別のドメインからサイトへのユーザーの許可を行っています。私は開発者であり、ネットワーク管理者ではありません。仮想サーバーはドメインコントローラーではなく、ActiveDirectoryがインストールされていません。 SharePointドメインはSHAREPOINTであり、アクセスを許可したいユーザーがいるドメインはCOMPANYです。それらはLAN経由で接続されています。私は彼らにサイトへのリンクを提供し、SharePointとSQLServerを介してユーザーとして追加しました。これが私がする必要があると思ったすべてです。ただし、リンクにアクセスすると、アクセスが拒否されたことを示すSharePointエラーページがサイトに表示されます。問題は、SharePointのカスタムWebパーツにあります。そのWebパーツをインデックスページから削除すると、問題なくアクセスできるようになります。

セキュリティイベントログに、次の情報が表示されます。

Event Type: Failure Audit
Event Source:   Security
Event Category: Object Access 
Event ID:   560
Date:       3/18/2010
Time:       11:11:49 AM
User:       COMPANY\ThisUser
Computer:   SHAREPOINT
Description:
Object Open:
    Object Server:  Security Account Manager
    Object Type:    SAM_ALIAS
    Object Name:    DOMAINS\Account\Aliases\00000404
    Handle ID:  -
    Operation ID:   {0,1719489}
    Process ID: 416
    Image File Name:    C:\WINDOWS\system32\lsass.exe
    Primary User Name:  SHAREPOINT$
    Primary Domain: COMPANY
    Primary Logon ID:   (0x0,0x3E7)
    Client User Name:   ThisUser
    Client Domain:  PRINTRON
    Client Logon ID:    (0x0,0x1A3BC2)
    Accesses:   AddMember 
            RemoveMember 
            ListMembers 
            ReadInformation 

    Privileges: -
    Restricted Sid Count:   0
    Access Mask:    0xF

次に、これらのうち4つを続けて次のようにします。

Event Type: Failure Audit
Event Source:   Security
Event Category: Object Access 
Event ID:   560
Date:       3/18/2010
Time:       11:12:08 AM
User:       NT AUTHORITY\NETWORK SERVICE
Computer:   SHAREPOINT
Description:
Object Open:
    Object Server:  SC Manager
    Object Type:    SERVICE OBJECT
    Object Name:    WinHttpAutoProxySvc
    Handle ID:  -
    Operation ID:   {0,1727132}
    Process ID: 404
    Image File Name:    C:\WINDOWS\system32\services.exe
    Primary User Name:  SHAREPOINT$
    Primary Domain: COMPANY
    Primary Logon ID:   (0x0,0x3E7)
    Client User Name:   NETWORK SERVICE
    Client Domain:  NT AUTHORITY
    Client Logon ID:    (0x0,0x3E4)
    Accesses:   Query status of service 
            Start the service 
            Query information from service 

    Privileges: -
    Restricted Sid Count:   0
    Access Mask:    0x94

SharePointにアクセスするためにユーザーに付与する必要のあるアクセス許可はありますか?

他のドメインの1人のユーザーが、ページを正常に表示できます。このユーザーに対して、私は彼に次の権限を与えました。そのユーザーを他のユーザーと比較して、追加する必要のある権限を確認する方法はありますか?

windows-server-2003sharepointpermissions
2
Geo Ego

また、ドメインの信頼はあなたの仕事にとって良い考えだと思います。私の場合、各ドメインにはMOSS 2007に基づく独自のイントラネットポータルがありました。両方のドメインのユーザーに両方のポータルへのアクセスを提供する必要がありました。作成しました。フォレスト間の双方向の信頼関係と、必要なすべてのアクセス許可を付与します。私の環境は標準です:AD、2003、MOSS 2007。

私の意見では、2つの別の方法があります。おそらく彼らはあなたにとってより良いでしょう:

  1. 両方のドメインが1つの安全なLANネットワークにある場合は、ポータルへの匿名アクセスを許可できます。
  2. 外部ドメインのユーザー用に、ドメイン内にアカウントを作成できます。その場合、外部ドメインのユーザーはフォームベース認証(Windows認証ではない)を使用する必要があります

これら2つの方法を組み合わせることができます。すべてのユーザーに匿名の読み取りアクセスを許可し、イントラネットポータルでの寄稿者権限を必要とするユーザーのためにドメイン内にいくつかのアカウントを作成できるとしましょう。

2
makrusan

ドメイン間に信頼関係を設定する必要があります(ドメインが同じツリー/フォレストにないことを前提としています)。

Sharepointが別のドメインのユーザーにアクセス許可を付与するには、そのドメインの認証を信頼する必要があります。

それらが同じフォレストにない場合は、Active Directoryドメインと信頼でそれらの間に外部信頼(SHAREPOINTはCOMPANYを信頼します)を設定します。

3
Jeremy Smyth

上記のオプションに加えて、他にもいくつかのオプションがあります。

  1. Webアプリケーションを新しいゾーン(エクストラネットゾーン)に拡張し、COMPANYドメインに対してフォームベース認証を使用して、それらのユーザーにアクセスを許可します。
  2. ISAサーバー(または別の製品...)をSharePointの前にリバースプロキシとして実装して認証を実行します。これにより、両方のドメインでWindows認証を使用できるようになります。

これは、最初のオプションについて説明している優れたブログ投稿です。
http://blogs.msdn.com/sharepoint/archive/2006/08/16/configuring-multiple-authentication-providers-for-sharepoint-2007.aspx

2
MattB

はい。最後に、私は記事を見つけました、そしてそれは私をすぐに助けました...

http://www.howtogeek.com/howto/vmware/allow-access-to-a-vmware-virtual-machinenat-from-another-computer/

Went to "Virtual Network Editor" from my Host computer (found under VMWare menu)
Change the IP address for the NAT subnet ip to 192.168.10.0
Followed the article above for more on NAT settings

ビンゴ...ホストPCからportal.spplay.comを実行できるようになりました。

1
Andy Smith