SharePoint People Picker und Active Directory-Vertrauensstellungen

By | 17. Juni 2015

Es gibt unzählige Unternehmen die nicht nur eine Active Directory-Domäne im Einsatz haben, sondern mehrere. Dies kann ganz verschiedene Gründe haben, wie z.B. historisch gewachsen, geografische Aufteilung, größere Unternehmen.

Dann wurde auch im Normalfall eine Vertrauensstellung zwischen den einzelnen Domänen konfiguriert. Aber Achtung, hier gibt es verschiedene Möglichkeiten:

  1. Two way trust: Die Domänen können uneingeschränkt aufeinander zugreifen.
  2. One way trust: Nicht alle Domänen können uneingeschränkt aufeinander zugreifen.

Ist die Vertrauensstellung einmal richtig konfiguriert, bekommt der normale Benutzer nicht mehr viel von den unterschiedlichen Domänen mit. Allerdings wäre SharePoint nicht SharePoint, wenn es auch dort so einfach wäre. Dort werden im SharePoint People Picker nur die Benutzer angezeigt, die sich in der selben Domäne wie der SharePoint befinden. Weil dies ziemlich unpraktisch ist, müssen noch manuelle Konfigurationen am SharePoint vorgenommen werden. Allerdings gilt die Anleitung nur für die oben beschriebene Two way trust Konfiguration.

Zur Verdeutlichung des Szenarios, hier noch eine grafische Übersicht:

Domain Trust

 

Der SharePoint befindet sich in der Domain 1. Über den SharePoint People Picker können keine Benutzer/Gruppen aus Domain 2 hinzugefügt werden, weil diese einfach nicht gefunden werden. Deshalb muss der SharePoint People Picker so konfiguriert werden, dass er auch in der anderen Domäne nach Ergebnissen sucht. Und das funktioniert wie meistens über die PowerShell:

$wa = Get-SPWebApplication http://sharepoint.frankeisel.local

# Prüfen und Ausgeben evtl. bereits vorhandener Konfiguration
$wa.PeoplePickerSettings.SearchActiveDirectoryDomains

# Domäne 1
$newDomain1 = New-Object Microsoft.SharePoint.Administration.SPPeoplePickerSearchActiveDirectoryDomain
# FQDN
$newDomain1.DomainName = "frankeisel.local"
# NetBios
$newDomain1.ShortDomainName = "local"
$wa.PeoplePickerSettings.SearchActiveDirectoryDomains.Add($newDomain1)

# Domäne 2
$newDomain2 = New-Object Microsoft.SharePoint.Administration.SPPeoplePickerSearchActiveDirectoryDomain
# FQDN
$newDomain2.DomainName = "frankeisel.de"
# NetBios
$newDomain2.ShortDomainName = "internet"
$wa.PeoplePickerSettings.SearchActiveDirectoryDomains.Add($newDomain2)

$wa.Update()

Zu beachten ist, dass es für jede Webanwendung einzeln ausgeführt werden muss (also auch für die Zentraladministration).

Die Konfiguration in Verbindung mit One way trust bedarf noch einiges mehr an Konfigurationsschritten. Bisher hatte ich in der Praxis allerdings noch nicht damit zu tun. Sobald sich das ändert, wird die Anleitung mit entsprechendem Wissen aus der Praxis erweitert.

Happy SharePointing …

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.