Лучшим решением было бы установить Deny Access Right для списков рассылки в Active Directory; выполните следующие действия:
1) Open Directory Пользователи & Компьютеров в качестве администратора (любого пользователя с доступом к созданию групп и изменить параметры списка рассылки безопасности).
2) Перейдите в меню «Вид» и убедитесь, что рядом с дополнительными функциями установлен флажок. Создайте новую группу безопасности в Active Directory (назовите ее HideFromSharePoint
или что-то еще) и добавьте в эту группу учетную запись SharePoint Content Access (в моем случае DOMAIN\sa_spcontent
) (она должна соответствовать учетной записи, используемой на шаге 4).
3) Для всех списков рассылки, которые вы не хотите, чтобы показать в SharePoint выполните следующие действия:
3a) Открыть список рассылки и выберите вкладку Security (Расширенные функции сусла для проверки этой вкладки).
3b) Нажмите Добавить и введите имя группы безопасности, созданной на шаге 3 (HideFromSharePoint
); нажмите «Проверить имена» и нажмите «ОК».
3c) Под разрешения на HideFromSharePoint
; установите флажок «Отклонить» рядом с «Чтение» (по умолчанию оно установлено «Разрешить») и нажмите «ОК» и «ОК» еще раз в строке.
Вы только что отказали членам группы HideFromSharePoint
в доступе к списку рассылки.
4) Перейти к Главному администрированию SharePoint; SharedServices1; Профили пользователей и свойства; Настройте импорт профиля и в разделе «Учетная запись» введите учетные данные учетной записи, добавленной в группу HideFromSharePoint
, в шаге 3. (По какой-то причине, если вы оставите это для использования учетной записи доступа к стандарту по умолчанию, SharePoint будет использовать другую учетную запись для доступа к Active Directory и тем самым разрешается доступ к спискам рассылки.Вы можете экспериментировать с добавлением других учетных записей службы SharePoint в группу HideFromSharePoint
, но я думаю, что безопаснее явно указывать учетную запись, чтобы вы знали, к какой учетной записи обращается к AD и импортируете данные.) Также убедитесь, что «Import Connection» для вашей Active Directory установлено значение «Использовать учетную запись по умолчанию» (тем самым «наследуя» учетную запись, используемую для импорта профилей).
5) Перейти к Главному администрированию SharePoint; SharedServices1; Профили пользователей и свойства и нажмите «Начать полный импорт». (Вы не можете делать инкрементный импорт, потому что ничего не изменилось для пользователей с точки зрения членства в группе, это только права доступа, которые изменились.) После завершения полного импорта (нажмите «Обновить» до «Время импорта»: «Начинается полный импорт по состоянию на 25.11.2009 г. ##: ## AM - Окончательный импорт на 25.11.2009 ##: ## AM ")
Списки распределения теперь не должны отображаться в разделе Членство.
Пару вещей отметить:
- Вы должны установить Deny Access Right явно и по отдельности на все списки рассылки, которые вы не хотите показывать в SharePoint. Это связано с тем, что специальная AD-группа «
Authenticated Users
» имеет доступ для чтения к каждому объекту в каталоге по умолчанию и явно установленный уровень запрета доступа к правам доступа (например, «Разрешить доступ») на уровне организационной единицы.
- Несмотря на то, что вы можете пропустить шаг настройки группы
HideFromSharePoint
и установить каталог «Запретить доступ» для учетной записи SharePoint Content Access. Рекомендации по администрированию Active Directory - это использование группы при настройке разрешений безопасности. (Затем вы можете добавить в эту группу дополнительных членов и ограничить доступ к чтению тоже.)
- Возможно, вам придется подождать некоторое время (5 или более минут) между установкой запрещенных прав доступа для изменений для репликации на все контроллеров домена. В противном случае импорт может быть прочитан с контроллера домена, где Deny еще не вступил в силу.
- Будьте внимательны при добавлении любых других учетных записей в группу
HideFromSharePoint
, поскольку это может привести к нарушению ваших списков рассылки. Например; если Exchange не может читать группы, почта не будет работать. Пока вы просто добавляете учетную запись SharePoint Content Access, вы в безопасности.
- Также (и это не имеет ничего общего с SharePoint или решением выше) следует помнить, что любой пользователь в вашем домене может запустить ADUC или инструмент LDAP и таким образом увидеть членов ваших списков рассылки. Если у вас есть что-то «Совершенно секретно», вам нужно поэкспериментировать с настройкой элементов управления доступом в Active Directory.
не относится ли это к http://serverfault.com/? – Lukman
Нет. Ищете решение, связанное с программированием, так как нет способа изменить его в конфиге. – wefwfwefwe
* [вставить необходимые Sharepoint шутки здесь] * –