[Sharepoint 2007] AD groep koppelen

Gewoon, domain\groupname invullen...

Om even toch nog in te springen ook al is het opgelost ...

Beste is een Sharepoint Resources OU aan te maken en daarin je website opzet in OU's op te bouwen.

Bv portal.tweakers.nl is je Top level site collection/web app -> OU
Alle subsites in AD aanmaken als OU

Dan global groups aanmaken in je normale AD OU's a la 'visitor' - 'member' - 'owner' en eventueel bv 'approver' mocht je workflows gebruiken.

In je AD Sharepoint resources maak je onder elke site, of het nu een Top level site is of een subsite (waar je dus allemaal OU's voor hebt staan) zet je nogmaals groepen op a la 'SP_visitor' - 'SP_member' - 'SP_owner'.
Die groepen koppel je aan desbetreffende Sharepoint groepen.

Als je dus de groepen van je normale AD groepen bv administratie, magazijn, whatever in je Sharepoint resources groepen zet blijft er nog maar 1 ding over ....

Telkens er iemand bijkomt zet je ze in je AD groep, die wordt automatisch verbonden met je Sharepoint resources groep en dus ook met de juiste Sharepoint groep.

Het voordeel is, je troubleshooting wordt 1000 keer makkelijker, je moet Sharepoint security niet meer beheren in Sharepoint zelf, enkel de gebruiker in of uit een AD groep halen, that's it.
Nadeel is dat het veel werk is maar eens af ... nooit meer naar omkijken.
Is het agdlp principe toegepast op Sharepoint

Graviton12 schreef op zaterdag 20 augustus 2011 @ 12:00:
Om even toch nog in te springen ook al is het opgelost ...

Beste is een Sharepoint Resources OU aan te maken en daarin je website opzet in OU's op te bouwen.

Bv portal.tweakers.nl is je Top level site collection/web app -> OU
Alle subsites in AD aanmaken als OU

Wij hebben een SP2007 omgeving met (kleine inschatting) een twaalf toplevel sites en een slordige 500 subsites/document stores die allemaal met verschillende autorisaties werken al naar gelang de afdeling / teamscheidingen.


No way dat ze de AD gaan vervuilen op die manier. Wel een mooie oplossing an sich, maar niet voor elk scenario haalbaar vrees ik

[ Voor 5% gewijzigd door alt-92 op 20-08-2011 12:42 ]

Tot en met de grootste bedrijven doen het zo, en uiteindelijk is het geen vervuiling, je hebt 1 OU waar alles onderhangt 'Sharepoint Resources' volgens agdlp wat vanuit Microsoft aangeraden wordt en 3 Globals per AD OU (of het nou per afdeling, locatie of wat dan ook is dat je gebruikt).

Je shares beheer je toch ook zo (als het goed is) en dat zullen er wel iets meer zijn dan 500? en trouwens, dat valt nog zeer goed mee, 12 TLSC met 500 SS is niks, zet ik op binnen dagje (ingeven he met tools, niet de voorbereiding ) MS heeft + 200 000 top level sites.

Verschillende autorisaties los je daar net gemakkelijk mee op, je hebt je standaard 3 met eventueel approval of jullie moeten echt wel zeer aangepaste permission levels hebben en dan nog.

Natuurlijk is het zo als je al een bestaande structuur hebt dat het een iets andere zaak is, maar eens af is het nooit meer omkijken dat is nou net het mooie ervan.

Edit:
Een van de belangrijkste dingen zou ik nog vergeten ;D
Je hebt helemaal geen Sharepoint account nodig of Sharepoint Administrator voor dit, een tier 1 admin krijgt mailtje, "voeg ff jan van accounting toe aan subsite x toe met member rechten", enige wat je doet is jan in de global_member van zijn afdeling en je bent klaar, drag en drop 2 seconden.

[ Voor 19% gewijzigd door Graviton12 op 20-08-2011 13:37 ]

Groups uiteraard wel, maar uit je eerdere suggestie (en mijn quote) maakte ik op dat je per subsite ook nog een OU aan wil maken.
Dan loop je tegen wat andere belemmeringen aan qua AD performance (replicatietijd) en zoals ik het nu zo gauw kan zien biedt zelfs SPS2010 geen ingebouwde OrgCharting aan op OU basis.

Dat je Rolebased Access binnen SPS combineert met Groupmemberships in je User-rollen via supergroepen (business roles waarin een defined set permission groups in zit) is uiteraard wel logisch - groups zijn cheapo

Als je je resource groepen in AD de naam geeft van het portaal en subsites heb je helemaal geen charts of iets dergelijks nodig. (als ik begrijp wat je bedoelt)

Bv
AD global group = intranet_tweakers_nl_IT (IT de afdeling zijnde)

AD Sharepoint resource group = SP_intranet_tweakers_nl_IT_Members (in OU intranet_tweakers_nl_IT)

Sharepoint group = intranet_tweakers_nl_IT_Members

AD global group hang je aan de resource
Resource global group koppel je aan de Sharepoint groep van dus de subsite IT met member permission level.

Ook rekening houden met natuurlijk of inheritance aanstaat of niet en dergelijke maar hangt volledig van je opzet af binnen een bedrijf.

Jan moet member worden van de subsite IT -> toevoegen aan intranet_tweakers_nl_IT en alles is gelijk in orde.

Ok AD wordt iets meer belast maar een DC heeft meestal spare tijd het is SQL wat nogal zwaar is.
Leraar van me gaf altijd voorbeelden van projecten van +20 000 gebruikers in multinationals die hij in real life opgezet had, ze deden het altijd zo, replication was nooit een issue omdat 1 keer als het opgezet is je replication geen rol meer speelt, aanpassingen worden toch maar alleen doorgegeven, gebruiker per gebruiker.
Heb helaas nog geen ervaring met sharepoint binnen grotere organisaties als Admin, dying to get one binnenkort.

2010 is trouwens een stuk makkelijker om permissions te beheren, er zit alleen 1 onnozelheid is als je ermee begint ... MS schrijft dat als je een group aanmaakt op subsite niveau dat die beschikbaar is in bovenliggende subsites of site collections, wat niet klopt

In jouw geval, laat ons zeggen, je hebt 10 afdelingen, dat zijn 30-40 global groepen aanmaken in je 'echte' AD OU's.
12 SC's met 500 SS is +- 500 OU's en 1550 sharepoint Resource groepen. Enige crap is natuurlijk als je alle ss's met aangepast permissions wil hebben waar zelfs visio niet aan uitkan

Als je dit van het begin doet als een bedrijf overschakelt naar SP ... breeze.

Ben ik alleen nog benieuwd wat het werkelijke nut van die 500 subOU's gaat worden.

Dat zijn de containers voor de subsites.

Overzicht en je kan gewoonweg geen fouten maken (of je moet al verkeerde AD naar resource groep slepen), werkt altijd zonder na te kijken

Ik stond er ook sceptisch tegenover de eerste keer ik het zag, net dezelfde redenen but in the end ...

[ Voor 8% gewijzigd door Graviton12 op 20-08-2011 14:58 ]

Overzicht heb je imho Identity & Access management tooling voor, en een duidelijke naming convention.
De tijd dat admins de godganse dag dsa.msc open hadden staan of ADAC ligt onderhand wel achter ons toch ?

Het is maar waar je voorkeur naar uitgaat uiteindelijk, en je moet er ook nog toestemming voor krijgen.