`
netxdiy
  • 浏览: 715127 次
  • 性别: Icon_minigender_1
  • 来自: 上海
社区版块
存档分类
最新评论

Exchange与Sharepoint用户权限冲突的解决办法(转)

 
阅读更多

问题
Exchange Server2003存在一个漏洞,有时它不是让用户无法使用OutlookWeb Access就是让用户可以完全访问其他人的帐户。

微软澳大利亚分公司Exchange产品经理AndrewCunningham在接受媒体采访时表示,微软在那之后进行的调查显示,当有人在ExchangeServer上运行MicrosoftWindows SharePoint Services时就会出现上述问题。

Cunningham说:“这不是一种常见的情况,大多数机构都有自己单独的Exchange应用功能,也有单独的SharePoint应用功能。”上述问题之所以会出现是因为,SharePoint会关闭Kerberos身份验证功能,而ExchangeServer在默认情况下总是会打开这项功能的。

解决办法
用户应该再次开启Kerberos身份验证功能,同时在SharePoint上也运行这种功能。

本文介绍如何配置 Microsoft Windows SharePoint Services 虚拟服务器以使用 Kerberos 身份验证。

当使用 Windows SharePoint Services 扩展 Microsoft Internet 信息服务 (IIS) 虚拟服务器时,会将该虚拟服务器配置为使用集成 Windows 身份验证(以前称为 NTLM 或 Windows NT 质询/响应身份验证)。通过在该虚拟服务器上配置集成 Windows 身份验证,Windows SharePoint Services 虚拟服务器可以作为域帐户运行,并且您无须在 Active Directory 目录服务中配置服务主要名称 (SPN)。

如果您的环境需要 Kerberos 身份验证,请按照本文中的步骤操作以便在虚拟服务器上配置 Kerberos 身份验证。

配置 Windows SharePoint Services 以使用 Kerberos 身份验证
要对通过 Windows SharePoint Services 扩展的虚拟服务器进行配置以使其使用 Kerberos 身份验证,您必须先在 IIS 中启用 Kerberos,然后为该虚拟服务器在运行时所使用的域帐户配置 SPN。


在 IIS 元数据库中启用 Kerberos
要在 IIS 中启用 Kerberos,请根据您的具体情况使用下列方法之一。

方法 1:手动编辑 IIS 元数据库

要手动编辑 IIS 元数据库以在虚拟服务器上启用 Kerberos,请按照下列步骤操作:
1、在 IIS 服务器上,启动记事本,然后打开位于硬盘上的以下文件夹中的 Metbase.xml 文件(其中 Systemroot 是安装 Microsoft Windows 的路径和文件夹名称):
Systemroot/System32/Inetsrv
2、在“IIsWebServer”节中,找到下面的行:
NTAuthenticationProviders="NTLM"
修改该行,使其与下面的内容完全一样:
NTAuthenticationProviders="Negotiate,NTLM"
3、在“文件”菜单上单击“保存”,然后退出记事本。
4、重新启动 IIS。为此,请按照下列步骤操作:
a、单击“开始”,然后单击“运行”。
b、在“打开”框中,键入 cmd,然后单击“确定”。
c、在命令提示符处,键入 iisreset,然后按 Enter 键。
d、键入 exit,然后按 Enter 键退出命令提示窗口。

方法 2:使用 IIS 管理脚本编辑 IIS 元数据库

使用脚本在虚拟服务器上启用 Kerberos 身份验证:
1、在 IIS 服务器上,单击“开始”,然后单击“运行”。
2、在“打开”框中,键入 cmd,然后单击“确定”。
3、更改到 Inetpub/Adminscripts 文件夹,然后键入以下命令行(其中驱动器 是安装 Windows 的驱动器):
cd 驱动器:/inetpub/adminscripts
4、键入以下命令行,然后按 Enter 键(其中 xx 是虚拟服务器 ID 号):
cscript adsutil.vbs get w3svc/xx/NTAuthenticationProviders
注意:IIS 中的默认 Web 站点的虚拟服务器 ID 是 1。
将返回如下字符串:
ntauthenticationproviders:(STRING) "NTLM"
5、要在虚拟服务器上启用 Kerberos,请键入以下命令行,然后按 Enter 键(其中 xx 是虚拟服务器 ID 号):
cscript adsutil.vbs set w3svc/##/NTAuthenticationProviders "Negotiate,NTLM"
注意:IIS 中的默认 Web 站点的虚拟服务器 ID 是 1。
6、重新启动 IIS。为此,请按照下列步骤操作:
a、单击“开始”,然后单击“运行”。
b、在“打开”框中,键入 cmd,然后单击“确定”。
c、在命令提示符处,键入 iisreset,然后按 Enter 键。
d、键入 exit,然后按 Enter 键退出命令提示窗口。

为域用户帐户配置服务主要名称
如果将 Windows SharePoint Services 站点的应用程序池标识配置为使用内置的安全主体(例如,NT Authority/Network Service 或 NT Authority/Local System),则无须执行该步骤。内置帐户被自动配置为使用 Kerberos 身份验证。

如果您使用远程 Microsoft SQL Server 2000 服务器,并且您需要使用 NT Authority/Network Service 作为域帐户,则您必须添加域/计算机名称$ 项,并使用“数据库创建者”和“安全管理员”权限对其进行配置。这样,Windows SharePoint Services 就可以连接到远程 SQL Server 计算机以创建配置和内容数据库。

如果 IIS 服务器是域的成员但不是域控制器,则该服务器必须被信任作为委派,Kerberos 身份验证才能正常工作。要配置 IIS 服务器以信任其作为委派,请按照下列步骤操作:
1、在域控制器上,启动“Active Directory 用户和计算机”。
2、在左窗格中,单击“计算机”。
3、在右窗格中,右键单击 IIS 服务器的名称,然后单击“属性”。
4、单击“常规”选项卡,单击以选中“信任计算机作为委派”复选框,然后单击“确定”。
5、退出“Active Directory 用户和计算机”。

如果将应用程序池标识配置为使用域用户帐户,则该帐户必须被信任作为委派,然后才能使用 Kerberos 身份验证。要配置域帐户以信任其作为委派,请按照下列步骤操作:
1、在域控制器上,启动“Active Directory 用户和计算机”。
2、在左窗格中,单击“用户”。
3、在右窗格中,右键单击该用户帐户的名称,然后单击“属性”。
4、单击“帐户”选项卡,在“帐户选项”下,单击以选中“帐户可委派其他帐户”复选框,然后单击“确定”。
5、退出“Active Directory 用户和计算机”。

如果应用程序池标识是一个域用户帐户,则必须为该帐户配置 SPN。要为该域用户帐户配置 SPN,请按照下列步骤操作:
1、下载并安装 Setspn.exe 命令行工具。为此,请访问下面的 Microsoft Web 站点:
http://www.microsoft.com/windows2000/techinfo/reskit/tools/existing/setspn-o.asp
2、使用 Setspn.exe 工具为域帐户添加 SPN。为此,请在命令提示符处键入下面的行,然后按 Enter 键(其中,服务器名称 是服务器的完全限定域名 (FQDN),域 是该域的名称,用户名 是该域用户帐户的名称):
Setspn -A HTTP/服务器名称域/用户名

这篇文章中的信息适用于:
Microsoft Windows SharePoint Services
Microsoft Exchange Server 2003

,

分享到:
评论

相关推荐

    Sharepoint2010与exchange,outlook日历同步功能

    Sharepoint2010与Exchange、Outlook日历同步功能是指Sharepoint2010与Exchange Server和Outlook客户端之间的日历同步功能,这个功能允许用户在Sharepoint站点和Outlook客户端之间同步日历信息,以便更好地管理日程和...

    Exchange2010导出用户邮箱

    以上就是关于 Exchange 2010 导出用户邮箱的相关知识点,包括创建权限和角色组、具体的导出和导入操作步骤以及需要注意的事项。这些知识点对于企业 IT 管理员来说是非常实用的,可以帮助他们更好地管理公司的邮件...

    sharepoint

    通过《一步一步学SharePoint2007》这本手册,读者将能够系统地学习如何使用和管理SharePoint 2007环境,包括设置网站结构、创建和配置列表与库、实施工作流、优化搜索、以及管理用户权限等方面的知识。这本书将帮助...

    RMS信息权限管理解决方案.pptx

    RMS信息权限管理解决方案可以与其他Microsoft产品集成,例如Exchange、SharePoint、Windows Server等,提供了一种一体化的信息权限管理解决方案。 RMS信息权限管理解决方案可以帮助企业保护敏感信息和数据,限制非...

    EXCHANGE邮件系统用户手册

    EXCHANGE邮件系统用户手册 一、 电子邮件系统概述 EXCHANGE邮件系统用户手册旨在帮助用户熟悉EXCHANGE邮件系统的使用和管理。EXCHANGE邮件系统是一个基于 Exchange 2003 Server 的电子邮件系统,具有增强的可靠性...

    Exchange电子邮件系统解决方案

    综上所述,通过采用Microsoft Exchange 2010作为电子邮件解决方案,并结合Active Directory进行用户认证和权限管理,科门电缆线技术咨询(深圳)有限公司可以构建一个高效、稳定且安全的企业级邮件系统。此外,合理...

    Exchange Server 2013企业邮件系统解决方案

    - 集成SharePoint和Lync:通过站点邮箱和就地电子数据展示,Exchange 2013实现了与SharePoint和Lync的深度集成,提升了协作效率。 - 高可用性:Exchange Server 2013采用分角色部署策略,可以实现高可用性和故障...

    exchange 2007批量建用户和邮箱

    在批量创建用户和邮箱之前,你需要确保已经安装并配置了Exchange 2007,并且拥有足够的权限,如Exchange组织管理员角色。此外,你需要一个包含所有新用户信息的数据源,通常是一个CSV(逗号分隔值)文件,其中包含...

    Exchange经验谈-如何查看最近登录和注销

    在 Exchange 环境中,查看用户最近的登录和注销记录是一个非常重要的任务,公司管理员需要了解用户的登录和注销情况,以便更好地管理用户账号和权限。下面,我们将详细介绍如何查看用户最近的登录和注销记录。 一、...

    sharepoint 2013入门教程

    SharePoint 2013可以与其他Microsoft产品(如Office、Exchange、Lync)无缝集成,同时也支持与其他系统(如CRM、ERP)的集成。 通过这个入门教程,你将学习如何创建和管理网站,设置权限,创建列表和库,使用工作流...

    Exchange_2010_创建_删除用户

    在IT管理领域,尤其是电子邮件系统管理中,Microsoft Exchange Server 2010 是一...此外,对Exchange 2010的其他功能,如权限设置、邮件流规则、存档策略等,也应有深入理解,以便更好地管理和维护企业的电子邮件环境。

    Exchange2003管理邮件用户

    《Exchange 2003 管理邮件用户:创建、配置与管理详解》 Exchange 2003 是微软企业级电子邮件系统的重要版本,它提供了高效的企业内部和外部通信解决方案。本文将深入探讨如何在Exchange 2003环境中管理邮件用户,...

    Exchange 导出用户数据.docx

    本文将详细介绍如何通过Exchange命令行管理程序(Exchange Management Shell)导出邮箱数据的方法,包括导出至其他邮箱、导出为PST文件、以及基于特定条件的数据筛选与导出。 #### 二、提权操作 在执行导出操作前,...

    Exchange_Server_2010错误解决

    在处理Exchange Server 2010的安装与配置过程中,可能会遇到各种各样的错误,这些错误往往涉及到系统组件、网络设置、以及与Active Directory的交互等多个方面。根据给定的文件信息,我们可以总结出以下几个关键知识...

    exchange邮件提醒密码到期

    Exchange邮件服务器作为微软提供的企业级邮件解决方案,不仅用于日常通信,还可以实现自动化管理任务,如提醒用户密码即将到期。本话题将详细介绍如何利用Exchange实现密码到期提醒功能,以及涉及的相关技术与步骤。...

    SharePoint配置传入电子邮件

    - **细节说明**:发送连接器的作用在于建立Exchange与SharePoint之间的通信桥梁,确保用户可以顺利地将邮件发送至SharePoint库或列表。 ##### 5. 创建AD中的OU并赋予应用程序权限 - **操作流程**:在Active ...

    SharePoint 2010之工作流

    SharePoint 2010工作流可以与其他系统集成,如SQL Server、Exchange Server或外部Web服务,实现跨系统的流程自动化。 ### 10. 学习资源 WebCast20110707_PDF.pdf可能是关于SharePoint 2010工作流的培训材料或会议...

Global site tag (gtag.js) - Google Analytics