此文是《关于SharePoint 2007的用户组和用户》一文最后一段的继续。关于SharePoint Server中的用户信息管理,choral也写过一篇相关的《SharePoint中的用户信息同步》。本文对相关的信息进行了更进一步的解释和说明。

先上一副图(图中的A、B、C、D、E等标记是为了下面文字更容易指定图片中相应部分而用,下文用类似“A标记”、“B标记”来进行标识):
 

SharePoint Server中的用户信息管理_职场



在一个标准的SharePoint Server服务器场部署模型中,一个用户的信息会同时存在于多个地方:

1、Active Directory(“A标记”)
在AD中会保存我们的基础信息,AD通常是企业中用户基础ID信息的所在。
 

SharePoint Server中的用户信息管理_SharePoint_02

 

2、SharePoint Server SSP User Profile(“C标记”)
在SharePoint Server服务器场的共享服务(SSP)的用户配置文件(User Profile)中,也会保存用户的信息。SSP User Profile中的用户信息,是作为SharePoint服务器场中集中的用户信息存储所在。如果在SharePoint应用中需要存放一些用户的特定属性信息,建议就存放在SSP User Profile中。User Profile是可以进行属性扩展的,比如,管理员可以添加一个新的“QQ号码”属性。
 

SharePoint Server中的用户信息管理_SharePoint_03

 

User Profile中的用户信息默认是从AD中导入而来的(“B标记”标识了这个过程),在SSP User Profile管理中,我们可以配置这个导入过程,比如指定相隔多长时间就从AD中重新完全导入用户信息一次。
 

SharePoint Server中的用户信息管理_休闲_04

 

当SSP User Profile从AD中导入用户信息的时候,SSP会根据User Profile的属性映射定义,来决定将AD中用户的哪个属性的值,赋值给User Profile的哪个属性。比如,SSP会将AD中的“显示名称”这个属性的值,导入到User Profile的“名称”这个属性中。通过SSP管理中“编辑用户配置文件属性”这个页面,就可以编辑(或者取消)这种属性映射关系。

如何修改保存在User Profile中的用户属性信息呢?首先,管理员可以在SSP管理中直接修改所有用户的属性信息。其次,每个用户通过自己的个人网站(“我的网站”),就可以修改自己的User Profile信息。
 

SharePoint Server中的用户信息管理_休闲_05

 

特别说明1:为什么用户不能修改某些属性?比如上图中的“名称”属性,默认就不能修改?
在SSP User Profile管理中,管理员可以指定哪些属性允许用户自己修改,哪些属性不允许。比如,如果管理员允许用户自己修改User Profile的“名称”属性:
 

SharePoint Server中的用户信息管理_职场_06

 
那么用户就可以在自己的个人网站修改“名称”属性的值了:
 

SharePoint Server中的用户信息管理_职场_07

 

特别说明2:用户自己修改(或者管理员修改)了User Profile的值,但是岂不是在下一次从AD中完全导入用户信息时,又被覆盖成AD中的值了?
是的。比如上面我们允许用户修改User Profile的“名称”属性的值,但是由于默认“名称”属性映射到AD中的“显示名称”属性,所以下一次进行AD完全导入(“B标记”)时,User Profile中用户的“名称”属性又被自动置成了AD中的“显示名称”的值。但是,管理员可以取消这种映射关系,比如,我们取消掉“名称”属性与AD“显示名称”属性的映射:
 

SharePoint Server中的用户信息管理_SharePoint_08

 
改成:
 

SharePoint Server中的用户信息管理_SharePoint_09

 

特别说明3:修改了User Profile中的用户信息,能否自动反向同步回AD?
不能。

除了从AD中导入User Profile信息之外,SharePoint还支持从其他数据源导入,比如LDAP Server。此外,你还可以用代码来往User Profile中添加用户的信息。

3、SharePoint站点(“E标记”)
在每个SharePoint站点中(更准确说应该是站点集中),还会保存每个站点用户的信息。这些信息是保存在各个站点的内容数据库的UserInfo表中(别直接修改数据库表,那不是一个好主意,正确做法是通过SPUser对象模型来访问SharePoint站点中的用户信息)。我们在页面右上方看到的那个“欢迎XXX”信息中的“XXX”,就来自SharePoint站点中存储的用户信息数据。
 

SharePoint Server中的用户信息管理_休闲_10

 
 

用户(以及管理员)不能直接修改存储在SharePoint站点中的用户信息,如果你试图修改,你只会看到这个:
 

SharePoint Server中的用户信息管理_SharePoint_11

 


当把用户第一次添加到SharePoint站点中时,SharePoint自动以用户的AD信息为基础,来写入到UserInfo表中。然后,“D标记”所示的同步操作,会将存储到SharePoint站点中的用户信息同步到User Profile中。同时,SharePoint Server还会自动定时的,将用户在User Profile中的信息,同步到各个SharePoint站点。这种同步是双向的。但是由于用户实际上不能在SharePoint站点中修改用户信息,所以实际上,这种同步绝大部分时候,都是将User Profile中的用户信息推送到SharePoint站点中。

“D标记”所示的同步过程是由2个SharePoint计时器作用(Timer Job)来完成的,“配置文件同步”(进行完全同步)和“配置文件快速同步”(进行差量同步):
 

SharePoint Server中的用户信息管理_休闲_12

 

由于SharePoint Server是以User Profile来作为用户信息存储中心,所以SharePoint Server不允许用户直接修改存储在SharePoint站点中的用户信息,而是定时自动的将User Profile中的用户信息推送到每个站点中。也就是说,即使你手工修改了UserInfo表中存储的用户信息数据,或通过SPUser对象模型修改了用户的属性信息,但它们很可能很快就会又被自动的覆盖成User Profile中的值。我们应该通过修改User Profile用户信息,来达到更新和维护用户信息的目的。User Profile应该是整个SharePoint Server服务器场中唯一的用户信息存储中心。

特别说明1:如何手工来快速进行“D标记”中所示的将User Profile用户信息同步到SharePoint站点用户信息的过程?
尝试在服务器上手工执行下面两个stsadm指令:
stsadm -o execadmsvcjobs
stsadm -o sync

特别说明2:为什么似乎“D标记”所示的同步过程,不能同步某些用户在SharePoint站点中的信息?
因为“D标记”所示配置文件同步操作,只会同步那些SharePoint认为是SharePoint站点“活动用户”。一个用户是否是活动用户由UserInfo表中的某个字段来标识。当一个用户在站点中进行某些“确实的”操作时,比如上传一个文件,他就会自动被标记为“活动用户”。

总结:
简单来说,就如同第一张图片所示的那样,AD -> User Profile <-> Site User Info。