In meinem ersten Artikel habe ich beschrieben, wie Sie die User Profil Dienstanwendung bereitstellen können. Sollten Sie diesen Artikel noch nicht gelesen haben, so empfehle ich Ihnen diesen zu lesen, bevor Sie mit diesem Artikel weitermachen. Den ersten Artikel können Sie hier lesen.
Eigentlich lief die Bereitstellung der User-Profil Services ohne große Komplikationen. Allerdings stoßen wir jetzt auf unser Problem. Um eine Synchronisation mit dem Active Directory einzurichten, benötigen Sie den “Benutzerprofil Synchronisationsdienst”. Allerdings lässt er sich nicht starten. Ich möchte Ihnen kurz das Verhalten erläutern. Melden Sie sich hierzu an der Zentral-Administration an. Gehen Sie nun auf der rechten Seite unter der Rubrik “Systemeinstellungen” auf den Link “Dienste auf dem Server verwalten”. Suchen Sie nun den Dienst “Benutzerprofil Synchronisationsdienst” und klicken Sie anschließend auf “Start”.
Merken Sie sich nun als erstes den Service Account, der Ihnen unter der Option “Die Benutzerprofilanwendung auswählen angezeigt wird. Geben Sie das Kennwort für den System Account ein und klicken Sie anschließend auf “OK”.
Ihnen wird nun angezeigt, dass der Dienst gestartet wird.
Klicken Sie nach einer Zeit (ca. 5 Min) im Brower auf aktualisieren. Wie Sie nun sehen, wurde der Dienst nicht gestartet, sondern wird wieder als “Beendet” angezeigt.
Um den Dienst zu starten, müssen einige vorbereitende Maßnahmen getroffen werden. Der Service Account des SharePoint Servers 2013 bzw. Project Servers 2013 muss die Berechtigung “Replikat in Domäne hinzufügen/entfernen” delegiert werden. Danach muss der Service Account unter dem der SharePoint Server ausgeführt wird, die Berechtigung erteilt werden, sich lokal an dem Server anzumelden.
Einrichtung der Delegierung auf dem Active Directory
Als erstes werden wir nun die Delegierung einrichten. Melden Sie sich hierzu auf Ihrem Active Directory Controller an. Öffnen Sie nun die Management-Konsole “Achtive Directory Benutzer und Computer”. Extrahieren Sie ihre Organisationsstruktur. Gehen Sie auf den Domänenknoten und klicken Sie auf die rechte Maustaste. Wählen Sie im Kontextmenü den Eintrag “Objektverwaltung zuweisen”.
Lesen Sie bei Bedarf den Inhalt des Willkommenassisitenten durch. Klicken Sie anschließend auf “Weiter”.
Fügen Sie nun das Service Account hinzu, unter dem der SharePoint Server 2013 bzw. Project Server 2013 ausgeführt wird. Klicken Sie anschließend auf “Weiter”.
Klicken Sie nun auf die Option “Benutzerdefinierte Aufgaben zum Zuweisen erstellen” und klicken Sie anschließend auf “Weiter”.
Belassen Sie die Einstellungen und klicken Sie auf “Weiter”.
Suchen Sie nun unter Berechtigungen die Option “Replikat in Domäne hinzufügen/ entfernen” und klicken Sie anschließend auf “Weiter”.
Achtung: Sollten Sie den Service Account auch für die spätere Synchronisation verwenden wollen, so geben Sie bitte ebenfalls die Berechtigung “Verzeichnisänderungen replizieren” – wie rot dargestellt!
Kontrollieren Sie nun noch einmal Ihre Einstellungen und klicken Sie dann auf “Fertigstellen”.
Berechtigungen lokal auf dem SharePoint Server erteilen
Als Nächstes müssen wir nun dem Service Account die Berechtigungen erteilen, sich lokal an dem System anzumelden. Melden Sie sich hierzu bitte an Ihrem SharePoint Server bzw. Project Server als Administrator an. Gehen Sie in die Metro-Oberfläche und öffnen Sie die Management-Kosnole “Lokale Sicherheitsrichtlinien”.
Extrahieren Sie nun die Sicherheitseinstellungen nach “Lokale Richtlinien –> Zuweisen von Benutzerrechten”. Suchen Sie nun auf der rechten Seite die Gruppenrichtlinie “Lokales Anmelden zulassen” und führen Sie einen Doppelklick auf der Gruppenrichtlinie aus.
Klicken Sie nun auf “Benutzer oder Gruppe hinzufügen”. Fügen Sie nun Ihr Service Account des SharePoint Server hinzu und klicken Sie anschließend auf “OK”. Schließen Sie nun das Fenster, indem Sie wieder auf “OK” klicken.
Achtung: weiterhin sollte der Service Account für die Einrichtung in der Gruppe der “Lokalen Administratoren” befinden. Dies ist nur für die Konfiguration von Nöten und kann nach der Einrichtung wieder entfernt werden. Sollten Sie den Service Account noch die Gruppe “Lokale Administratoren” hinzugefügt haben, gehen Sie wie folgt vor.
Öffnen Sie hierzu die Computerverwaltung, indem Sie die Systemsteurung öffnen. Klicken Sie dort auf “Verwaltung” und innerhalb der Verwaltung auf “Computerverwaltung. Gehen Sie dort auf “Gruppen” und führen Sie auf der rechten Seite einen Doppelklick auf die Gruppe “Administratoren” aus. Fügen Sie hier den Service Account des SharePoint Servers ebenfalls hinzu.
Starten Sie nun, nachdem Sie alle Einstellungen durchgeführt haben, den Server neu.
Rufen Sie nun die Zentraladministration auf. Klicken Sie auf den Link “Dienste auf dem Server starten” unter der Rubrik “Systemeinstellungen”.
Suchen Sie den Dienst “Benutzerprofil-Synchronisationsdient” und klicken sie erneut auf “Starten”.
Geben Sie nun das Kennwort für den Service Account an. Klicken Sie anschließend auf “OK”.
Klicken Sie nach einiger Zeit (ca. 5 Min) im Browser auf aktualisieren. Wie Sie sehen, wurde der Dienst nun gestartet.
In meinem nächsten Blog-Artikel, werde ich Ihnen zeigen, wie Sie die Konfiguration der Benutzerprofil-Services vornehmen.