Synchronisation von Benutzern mit dem Active Directory Import

In diesem Artikel möchte ich euch eine Besonderheit bei der Verwendung vom Active Directory Import in einer SharePoint Umgebung zeigen, die bei der Nutzung berücksichtigt werden muss.

SharePoint Server 2013 war die letzte Version, die zur Synchronisation von Active Directory Benutzern und deren Eigenschaften den Forefront Identity Manager (FIM) mitgebracht hat. In der SharePoint Zentraladministration versteckte sich der FIM unter den Namen SharePoint Profile Synchronisation. Ich denke, jeder der schon einmal den FIM eingesetzt hat, hatte damit schon irgendwann mal Probleme. Der FIM ist dafür leider bekannt und von daher ist es doch eigentlich super, dass dieser ab SharePoint 2016 nicht mehr standardmäßig zur Verfügung steht, oder?

Active Directory Import

Ab SharePoint 2016 wurde der Active Directory Import zum Standard bei der „Synchronisation“ (warum das in Anführungszeichen steht, erkläre ich gleich) von Benutzern und deren Eigenschaften.

Active Directory Import

Der Name Active Directory Import deutet nämlich auf einen reinen Import hin, was auch der Realität entspricht. Dies hat zur Folge, dass gelöschte/deaktivierte Benutzer nicht mehr aus dem SharePoint User Profile Service gelöscht werden. Was beim FIM noch Standard war, ist beim Active Directory Import nicht mehr so einfach möglich. Man kann natürlich ab SharePoint 2016 natürlich auch den Microsoft Identity Manager (MIM) nutzen, der der Nachfolger vom FIM ist. Dieser erhöht aber natürlich auch die Komplexität in der Farm und die Probleme vom FIM hat dieser teilweise auch noch. In einem anderen Blogbeitrag von mir beschreibe ich wie man von dieser Variante zum MIM migrieren kann.

Somit muss man sich bei der Nutzung vom Active Directory Import immer bewusst sein, das einmal importierte Profile für immer im SharePoint User Profile Service verfügbar sind. Unter Umständen kann dies natürlich nicht gewünscht sein und deshalb zeige ich euch noch ein kleines PowerShell Skript, was das Aufräumen von nicht mehr vorhandenen Benutzern erlaubt. Die nicht mehr importierten Profile werden nämlich sehr wohl von SharePoint markiert, nur sieht man das nicht auf den ersten Blick.

if ((Get-PSSnapin "Microsoft.SharePoint.PowerShell" -ErrorAction SilentlyContinue) -eq $null) {
    Add-PSSnapin "Microsoft.SharePoint.PowerShell"
}

# Hier holen wir uns die User Profile Service Application
$upa = Get-SPServiceApplication |? {$_.typename -match "profile"}

# Hier starten wir den Active Directory Import noch einmal manuell
$upa.StartImport($true)

# Hier sehen wir die Profile, die nicht mehr importiert werden
Set-SPProfileServiceApplication -Identity $upa -GetNonImportedObjects $true

# Hier können wir die nicht mehr importierten Profile löschen
Set-SPProfileServiceApplication -Identity $upa -PurgeNonImportedObjects $true

Durch dieses PowerShell Skript werden die nicht mehr vorhandenen Profile gelöscht, so wie man es vom FIM ebenfalls kennt.

In diesem Sinne, Happy SharePointing…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert