SharePoint Server中的用户信息管理

此文是《关于SharePoint 2007的用户组和用户》一文最后一段的继续。关于SharePoint Server中的用户信息管理，choral也写过一篇相关的《SharePoint中的用户信息同步》。本文对相关的信息进行了更进一步的解释和说明。

先上一副图（图中的A、B、C、D、E等标记是为了下面文字更容易指定图片中相应部分而用，下文用类似“A标记”、“B标记”来进行标识）：
 

在一个标准的SharePoint Server服务器场部署模型中，一个用户的信息会同时存在于多个地方：

1、Active Directory（“A标记”）
在AD中会保存我们的基础信息，AD通常是企业中用户基础ID信息的所在。


2、SharePoint Server SSP User Profile（“C标记”）
在SharePoint Server服务器场的共享服务（SSP）的用户配置文件（User Profile）中，也会保存用户的信息。SSP User Profile中的用户信息，是作为SharePoint服务器场中集中的用户信息存储所在。如果在SharePoint应用中需要存放一些用户的特定属性信息，建议就存放在SSP User Profile中。User Profile是可以进行属性扩展的，比如，管理员可以添加一个新的“QQ号码”属性。


User Profile中的用户信息默认是从AD中导入而来的（“B标记”标识了这个过程），在SSP User Profile管理中，我们可以配置这个导入过程，比如指定相隔多长时间就从AD中重新完全导入用户信息一次。


当SSP User Profile从AD中导入用户信息的时候，SSP会根据User Profile的属性映射定义，来决定将AD中用户的哪个属性的值，赋值给User Profile的哪个属性。比如，SSP会将AD中的“显示名称”这个属性的值，导入到User Profile的“名称”这个属性中。通过SSP管理中“编辑用户配置文件属性”这个页面，就可以编辑（或者取消）这种属性映射关系。

如何修改保存在User Profile中的用户属性信息呢？首先，管理员可以在SSP管理中直接修改所有用户的属性信息。其次，每个用户通过自己的个人网站（“我的网站”），就可以修改自己的User Profile信息。
 

特别说明1：为什么用户不能修改某些属性？比如上图中的“名称”属性，默认就不能修改？
在SSP User Profile管理中，管理员可以指定哪些属性允许用户自己修改，哪些属性不允许。比如，如果管理员允许用户自己修改User Profile的“名称”属性：

那么用户就可以在自己的个人网站修改“名称”属性的值了：


特别说明2：用户自己修改（或者管理员修改）了User Profile的值，但是岂不是在下一次从AD中完全导入用户信息时，又被覆盖成AD中的值了？
是的。比如上面我们允许用户修改User Profile的“名称”属性的值，但是由于默认“名称”属性映射到AD中的“显示名称”属性，所以下一次进行AD完全导入（“B标记”）时，User Profile中用户的“名称”属性又被自动置成了AD中的“显示名称”的值。但是，管理员可以取消这种映射关系，比如，我们取消掉“名称”属性与AD“显示名称”属性的映射：

改成：


特别说明3：修改了User Profile中的用户信息，能否自动反向同步回AD？
不能。

除了从AD中导入User Profile信息之外，SharePoint还支持从其他数据源导入，比如LDAP Server。此外，你还可以用代码来往User Profile中添加用户的信息。

3、SharePoint站点（“E标记”）
在每个SharePoint站点中（更准确说应该是站点集中），还会保存每个站点用户的信息。这些信息是保存在各个站点的内容数据库的UserInfo表中（别直接修改数据库表，那不是一个好主意，正确做法是通过SPUser对象模型来访问SharePoint站点中的用户信息）。我们在页面右上方看到的