主页 / server / 问题 / 123970
Accepted
Geo Ego
Asked: 2010-03-19 10:55:19 +0800 CST

为不同域中的用户授予对 SharePoint 的访问权限

  • 772

我刚刚在虚拟服务器上完成了 SharePoint 网站的开发,目前正在将来自不同域的用户授予该网站。我是开发人员,而不是网络管理员。虚拟服务器不是域控制器,也没有安装 Active Directory。SharePoint 域是 SHAREPOINT,而我要授予访问权限的用户所在的域是 COMPANY。它们通过 LAN 连接。我已经为他们提供了指向该站点的链接,并通过 SharePoint 和 SQL Server 将他们添加为用户,这是我认为我需要做的所有事情。但是,当他们转到该链接时,该网站会向他们显示一个 SharePoint 错误页面,告诉他们访问被拒绝。问题归结为 SharePoint 的自定义 Web 部件。如果我从索引页面中删除该 Web 部件,他们就可以正常访问它。

在安全事件日志中,我显示以下内容:

Event Type: Failure Audit
Event Source:   Security
Event Category: Object Access 
Event ID:   560
Date:       3/18/2010
Time:       11:11:49 AM
User:       COMPANY\ThisUser
Computer:   SHAREPOINT
Description:
Object Open:
    Object Server:  Security Account Manager
    Object Type:    SAM_ALIAS
    Object Name:    DOMAINS\Account\Aliases\00000404
    Handle ID:  -
    Operation ID:   {0,1719489}
    Process ID: 416
    Image File Name:    C:\WINDOWS\system32\lsass.exe
    Primary User Name:  SHAREPOINT$
    Primary Domain: COMPANY
    Primary Logon ID:   (0x0,0x3E7)
    Client User Name:   ThisUser
    Client Domain:  PRINTRON
    Client Logon ID:    (0x0,0x1A3BC2)
    Accesses:   AddMember 
            RemoveMember 
            ListMembers 
            ReadInformation 

    Privileges: -
    Restricted Sid Count:   0
    Access Mask:    0xF

然后,连续四个:

Event Type: Failure Audit
Event Source:   Security
Event Category: Object Access 
Event ID:   560
Date:       3/18/2010
Time:       11:12:08 AM
User:       NT AUTHORITY\NETWORK SERVICE
Computer:   SHAREPOINT
Description:
Object Open:
    Object Server:  SC Manager
    Object Type:    SERVICE OBJECT
    Object Name:    WinHttpAutoProxySvc
    Handle ID:  -
    Operation ID:   {0,1727132}
    Process ID: 404
    Image File Name:    C:\WINDOWS\system32\services.exe
    Primary User Name:  SHAREPOINT$
    Primary Domain: COMPANY
    Primary Logon ID:   (0x0,0x3E7)
    Client User Name:   NETWORK SERVICE
    Client Domain:  NT AUTHORITY
    Client Logon ID:    (0x0,0x3E4)
    Accesses:   Query status of service 
            Start the service 
            Query information from service 

    Privileges: -
    Restricted Sid Count:   0
    Access Mask:    0x94

任何想法我需要授予用户哪些权限才能让他们访问 SharePoint?

我确实有一个来自其他域的用户能够正常查看该页面。对于该用户,我授予他以下权限:有什么方法可以将该用户与其他用户进行比较,并查看可能需要添加哪些权限?

windows-server-2003 sharepoint permissions

4 个回答

  1. 您需要在域之间建立信任关系(我假设它们不在同一棵树/森林中)。

    为了让 Sharepoint 向来自不同域的用户授予权限,它需要信任该域的身份验证。

    如果它们不在同一个林中,则在 Active Directory 域和信任中设置它们之间的外部信任(SHAREPOINT 信任公司)。

    • 3
  2. Best Answer

    我也认为域信任对您的任务来说是个好主意。我有成功的经验:在我的例子中,每个域都有自己的基于 MOSS 2007 的 Intranet 门户。有必要为来自两个域的用户提供对两个门户的访问。我们在林之间建立了双向信任关系并授予了所有必要的权限。我的环境是标准的:AD,2003,MOSS 2007。

    在我看来,还有另外两种方法。可能它们对你会更好:

    1. 如果您的两个域都在一个安全的 LAN 网络中,您可以允许匿名访问您的门户。
    2. 您可以在您的域中为来自外部域的用户创建帐户。在这种情况下,来自外部域的用户将需要使用基于表单的身份验证(不是 Windows 身份验证)

    您可以混合使用这两种方法。假设您可以为所有人授予匿名读取访问权限,并在您的域中为需要在 Intranet-portal 上的贡献者权限的用户创建几个帐户。

    • 2

  3. 除了上面提到的选项之外,您还有其他几个选项。

    1. 将您的 Web 应用程序扩展到一个新区域(Extranet 区域)并针对 COMPANY 域使用基于表单的身份验证来授予这些用户访问权限。
    2. 将 ISA 服务器(或其他产品...)实施为 SharePoint 前的反向代理以进行身份​​验证 - 这应该允许两个域都使用 Windows 身份验证。

    这是一篇很棒的博客文章,讨论了第一个选项:http:
    //blogs.msdn.com/sharepoint/archive/2006/08/16/configuring-multiple-authentication-providers-for-sharepoint-2007.aspx

    • 2

  4. 好的。最后,我找到了一篇文章,它立即帮助了我......

    http://www.howtogeek.com/howto/vmware/allow-access-to-a-vmware-virtual-machinenat-from-another-computer/

    Went to "Virtual Network Editor" from my host computer (found under VMWare menu)
Change the IP address for the NAT subnet ip to 192.168.10.0
Followed the article above for more on NAT settings

    宾果游戏...我现在可以从我的主机上执行 portal.spplay.com。

    • 1

相关问题