Dit is het derde deel in de serie over de User Profile Service. Deze post behandelt profiel synchronisatie. Het behandelt het exporteren van profieldata naar AD. Voordat je deze post leest, lees eerst de volgende blog posts:

http://blogs.microsoft.nl/blogs/mpriem/archive/2010/08/07/sharepoint-2010-user-profile-service.aspx
http://blogs.microsoft.nl/blogs/mpriem/archive/2010/08/07/sharepoint-2010-profiel-synchronisatie-import.aspx

In de vorige post hebben we het alleen gehad over het importeren van profiel informatie, maar zoals gezegd kunnen we nu ook informatie terugschrijven naar AD. Onderstaand voorbeeld laat zien hoe je eigenschappen terug kunt schrijven naar AD.

Voordat we kunnen beginnen met de configuratie aan de Sharepoint-kant, moeten er rechten gezet worden in AD:

  1. Open Active Directory Users and Computers of de domain context in AdsiEdit.msc.
  2. Op elk OU (of alleen op domain level) waar je gebruikers hebt zitten die binnen de synchronisatie connectie vallen moet je voor het synchronisatie account Write en Create all child objects rechten toekennen. Alleen toekennen is echter niet voldoende. Wanneer je de gebruiker hebt toegevoegd, selecteer dan Advanced.
  3. Selecteer de permissieset die je zojuist hebt toegevoegd (replicate changes staat er ook nog tussen, maar die moet je dus niet hebben), en selecteer Edit.
  4. Uit de Apply to dropdown box kies je vervolgens This object and all descendant objects.
  5. Selecteer een aantal keer OK om de wijziging door te voeren.

Wanneer deze rechten goed staan kunnen we properties gaan configureren die we willen exporteren. Als voorbeeld neem ik Department.

  1. Browse naar Application Management > Manage Service Applications > User Profile Service > Profile Properties.
  2. Selecteer Edit vanuit het contextmenu van het Department property.
  3. In de Property Mapping for Synchronization sectie, zie je aan welk AD attribuut dit property gekoppeld is. Dit moet je onthouden, omdat we deze opnieuw gaan aanmaken.
  4. Selecteer Remove om de mapping te verwijderen.
  5. Maak een nieuwe mapping aan met Direction = Export.
  6. Selecteer OK om het property op te slaan.

Verifieer nu of de export werkt. Wijzig een profiel:

  1. Application Management > Manage Service Applications > User Profile Service > User Profiles.
  2. Zoek een profiel en selecteer Edit My Profile vanuit het context menu.
  3. Wijzig het Department veld:
  4. Start een incremental synchronisatie vanuit Application Management > Manage Service Applications > User Profile Service.
  5. Controleer het attribuut in Active Directory:

Mocht je nu geen wijziging zien, dan is dat meestal te wijten aan onvoldoende rechten in AD. In de Sharepoint UI zie je echter geen foutmeldingen, maar als je de FIM tooling opent, zie je het wel:

Dubbel- en tripplecheck dus die rechten.

De volledige blog serie bestaat uit:
http://blogs.microsoft.nl/blogs/mpriem/archive/2010/08/07/sharepoint-2010-user-profile-service.aspx
http://blogs.microsoft.nl/blogs/mpriem/archive/2010/08/07/sharepoint-2010-profiel-synchronisatie-import.aspx
http://blogs.microsoft.nl/blogs/mpriem/archive/2010/08/07/sharepoint-2010-profiel-synchronisatie-export.aspx
http://blogs.microsoft.nl/blogs/mpriem/archive/2010/08/08/sharepoint-2010-social-tags-notes-en-user-ratings.aspx
http://blogs.microsoft.nl/blogs/mpriem/archive/2010/08/13/sharepoint-2010-my-sites.aspx
http://blogs.microsoft.nl/blogs/mpriem/archive/2010/08/13/sharepoint-2010-user-profile-service-timerjobs-en-cmdlets