Freigeben über

Configure People Picker in SharePoint Server

  • Artikel

GILT FÜR:ja-20102010 ja-20132013 ja-20162016 ja-20192019 no-seSubscription Edition

Die Personenauswahl kann mithilfe des Stsadm-Vorgangs setproperty für eine Farm auf Zonenebene konfiguriert werden. Durch Konfigurieren der Einstellungen für dieses Steuerelement können Sie die Ergebnisse filtern und einschränken, die angezeigt werden, wenn ein Benutzer nach einem Benutzer, einer Gruppe oder einem Anspruch sucht. Diese Einstellungen gelten für alle Websites innerhalb der Websitesammlung.

Die Informationen in diesem Artikel gelten nur für Webanwendungen, die die Windows-Authentifizierung entweder im klassischen Modus oder im anspruchsbasierten Modus verwenden.

Das Steuerelement Personenauswahl wird verwendet, um Benutzer, Gruppen und Ansprüche zu suchen und auszuwählen, wenn ein Website-, Listen- oder Bibliotheksbesitzer Berechtigungen in Microsoft SharePoint Server zuweist. Weitere Informationen zu den Eigenschaften der Personenauswahl finden Sie unter Peoplepicker: Stsadm-Eigenschaften.

Hinweis

Es gibt keine Windows PowerShell-Befehle zum Konfigurieren der Personenauswahl in SharePoint Server 2010, SharePoint Server 2013, SharePoint Server 2016 oder SharePoint Server 2019. Sie können jedoch die PowerShell-Befehle verwenden, um die Personenauswahl in der SharePoint-Abonnementedition zu konfigurieren. Weitere Informationen finden Sie unter Konfigurieren der Personenauswahl in der SharePoint-Abonnementedition.

Dieser Artikel enthält Informationen zum Konfigurieren der Personenauswahl für bestimmte Szenarien. Weitere Informationen zum Steuerelement "Personenauswahl" und seiner Funktionsweise, seiner Beziehung zu Authentifizierungs- und Anspruchsanbietern sowie zum Planen der Personenauswahl finden Sie unter Übersicht über Personenauswahl und Anspruchsanbieter.

Voraussetzungen für die Konfiguration der Personenauswahl

Stellen Sie sicher, dass die folgenden Anforderungen erfüllt sind, bevor Sie die Personenauswahl konfigurieren:

  • Vergewissern Sie sich, dass das Konto, das Sie zum Ausführen Stsadm verwenden, Mitglied der lokalen Administratorgruppe auf dem Server ist, auf dem SharePoint Server installiert ist.

  • Öffnen Sie das Eingabeaufforderungsfenster als Administrator, um die Verfahren in diesem Artikel auszuführen.

  • Wechseln Sie in der Eingabeaufforderung des Treibers, auf dem SharePoint Server installiert ist, in das folgende Verzeichnis: %CommonProgramFiles%\Microsoft Shared\Web Server Extensions\x\Bin.

    Hinweis

    Ersetzen Sie den Zahlenzuordnungswert, d. h. "x" im Verzeichnis basierend auf der version von SharePoint, die Sie installiert haben. Im Folgenden sind die SharePoint-Versionen und ihre jeweiligen Zahlenzuordnungswerte aufgeführt:

    • SharePoint 2010: 14
    • SharePoint 2013: 15
    • SharePoint 2016 und SharePoint 2019: 16

Konfiguration der Einstellungen für die Personenauswahl

Sobald die Voraussetzungen erfüllt sind, können Sie die folgenden Verfahren ausführen:

Überprüfen des Einstellungswerts für eine beliebige Eigenschaft

Um die Einstellung für eine beliebige Personenauswahl-Eigenschaft zu prüfen, geben Sie den folgenden Befehl ein:

stsadm.exe -o getproperty -pn <Property Name> -url <Web application URL>

Weitere Informationen finden Sie unter Peoplepicker: Stsadm-Eigenschaften.

Löschen des Eigenschaftswerts in der Personenauswahl

Sie können die Einstellung für eine Personenauswahl-Eigenschaft entfernen, indem Sie den Namen der Eigenschaft angeben, den Sie löschen möchten, und leere Anführungszeichen für den Eigenschaftswert verwenden.

Um eine Eigenschaftseinstellung in der Personenauswahl zu löschen, geben Sie den folgenden Befehl ein:

stsadm.exe -o setproperty -pn <Property Name> -pv "" -url <Web application URL>

Weitere Informationen finden Sie unter Peoplepicker-searchadforests: Stsadm-Eigenschaft.

Festlegen eines Verschlüsselungsschlüssels zur Verwendung mit einer unidirektionalen Vertrauensstellung

Wenn die Gesamtstruktur oder Domäne, in der SharePoint Server installiert ist, über eine unidirektionale Vertrauensstellung mit einer anderen Gesamtstruktur oder Domäne verfügt, müssen Sie zuerst die Anmeldeinformationen für das Konto festlegen, das sich bei der abzufragbaren Gesamtstruktur oder Domäne authentifizieren darf, bevor Sie die Stsadm peoplepicker-searchadforests-Eigenschaft verwenden können.

Hinweis

Der Verschlüsselungsschlüssel muss auf jedem Front-End-Webserver in der Farm festgelegt werden, auf dem SharePoint Server installiert ist.

Geben Sie den folgenden Befehl ein, um einen Verschlüsselungsschlüssel festzulegen:

stsadm.exe -o setapppassword -password <key>

Unterstützen von gesamtstruktur- oder domänenübergreifenden Abfragen bei Verwendung einer unidirektionalen Vertrauensstellung

Wenn die Gesamtstruktur oder Domäne, in der SharePoint Server installiert ist, über eine unidirektionale Vertrauensstellung mit einer anderen Gesamtstruktur oder Domäne verfügt, müssen Sie zusätzlich zu den Namen der abzufragenden Gesamtstrukturen oder Domänen die Anmeldeinformationen angeben, die zum Abfragen der Gesamtstruktur oder Domäne verwendet werden sollen. Die Personenauswahl fragt nur die Gesamtstrukturen und Domänen ab, die Sie in der Eigenschaftseinstellung peoplepicker-searchadforests angeben.

Geben Sie den folgenden Befehl ein, um die abzufragenden Gesamtstrukturen oder Domänen zusammen mit den Anmeldeinformationen anzugeben:

stsadm.exe -o setproperty -pn peoplepicker-searchadforests -pv <Valid list of forests or domains, Login name, Password> -url <Web application URL>

Hinweis

Sie müssen das Kennwort für den Verschlüsselungsschlüssel, das Sie dem Konto zugewiesen haben, nicht angeben, wenn Sie die eigenschaft peoplepicker-searchadforests verwenden. Wenn Sie jedoch für das Konto noch keinen Verschlüsselungsschlüssel festgelegt haben, wird eine Fehlermeldung angezeigt.

Im folgenden Beispiel wird die Personenauswahl zur Verwendung mit einer Gesamtstruktur namens "Contoso.com" und einer Domäne namens "Fabrikam.com" konfiguriert, und es werden jeweils die Anmeldeinformationen angegeben:

sTSADM.exe -o setproperty -pn peoplepicker-searchadforests -pv "forest:Contoso.com,Contoso\User1,Password1; domain:Fabrikam.com,Fabrikam\User2,Password2" -url https://ServerName

Weitere Informationen finden Sie unter Peoplepicker-searchadforests: Stsadm-Eigenschaft.

Einschränken der Personenauswahl auf eine bestimmte Gruppe in Active Directory

Wenn eine Webanwendung die Windows-Authentifizierung verwendet und der Verzeichnispfad des Standortbenutzers nicht festgelegt ist, durchsucht das Personenauswahl-Steuerelement das gesamte Active Directory, um die Namen von Benutzern aufzulösen oder Benutzer zu finden, anstatt nur Benutzer innerhalb einer bestimmten Organisationseinheit (OE) zu durchsuchen. Mithilfe des Stsadm-Vorgangs setsiteuseraccountdirectorypath kann der Verzeichnispfad des Benutzers auf eine bestimmte OU in der gleichen Domäne festgelegt werden. Nachdem der Verzeichnispfad auf eine Websitesammlung festgelegt wurde, sucht das Personenauswahl-Steuerelement nur unter der entsprechenden OU.

Um die Personenauswahl auf eine bestimmte OU in Active Directory einzuschränken, geben Sie den folgenden Befehl ein:

stsadm -o setsiteuseraccountdirectorypath -path <Valid OU name> –url <Web application URL>

Im folgenden Beispiel wird die Personenauswahl so konfiguriert, dass nur Benutzer und Gruppe in der OU mit dem Namen "Sales" zurückgegeben werden:

stsadm -o setsiteuseraccountdirectorypath -path "OU=Sales,DC=ContosoCorp,DC=local" -url https://ServerName

Hinweis

Für eine Websitesammlung kann jeweils nur ein einzelner Verzeichnispfad für den Websitebenutzer festgelegt werden. Daher gibt diese Eigenschaft jeweils nur eine Organisationseinheit an, und Sie sollten den Stsadm-Vorgang setsiteuseraccountdirectorypath nur einmal pro Websitesammlung ausführen.

Weitere Informationen finden Sie unter Setsiteuseraccountdirectorypath: Stsadm-Vorgang.

Definieren des Speicherorts von Administratorkonten

Administratorbenutzerkonten befinden sich häufig in einer anderen OU als normale Websitebenutzer. Wenn Sie den Stsadm-Vorgang setsiteuseraccountdirectorypath verwendet haben, um zu erzwingen, dass die Personenauswahl nur Abfragen zurückgibt, die sich aus einer bestimmten Organisationseinheit ergeben, müssen Sie auch die Eigenschaft Stsadm peoplepicker-serviceaccountdirectorypaths festlegen, damit der Administrator die Websitesammlung verwalten kann.

Hinweis

Bevor die eigenschaft peoplepicker-serviceaccountdirectorypaths funktioniert, muss der Setsiteuseraccountdirectorypath-Vorgang auf einen Wert festgelegt werden.

Um den Speicherort von Administratorkonten zu definieren, geben Sie den folgenden Befehl ein:

stsadm -o setproperty -pn peoplepicker-serviceaccountdirectorypaths -pv <A list of OU names> -url <Web application URL>

Das folgende Beispiel konfiguriert die Personenauswahl so, dass Benutzer in der Geschäftseinheit "FarmAdmin" zulässig sind:

stsadm -o setproperty -pn peoplepicker-serviceaccountdirectorypaths -pv "OU=FarmAdmin,DC=Contoso,DC=local" -url https://ServerName

Weitere Informationen finden Sie unter Peoplepicker-serviceaccountdirectorypaths: Stsadm-Eigenschaft).

Zwingen der Personenauswahl, nur Benutzer in der Websitesammlung auszuwählen

Das Steuerelement Personenauswahl besteht aus einem Textfeld und zwei Schaltflächen, z. B. der Schaltfläche Namen überprüfen und der Schaltfläche Durchsuchen .

  • Die Schaltfläche Namen überprüfen wird verwendet, um einen Benutzernamen, einen Gruppennamen oder eine E-Mail-Adresse genau so aufzulösen, wie sie in das Textfeld eingegeben wurden.
  • Mit der Schaltfläche Durchsuchen wird das Dialogfeld Personen und Gruppen auswählen geöffnet, das zum Übermitteln einer Abfrage für eine vollständige oder teilweise Zeichenfolge verwendet werden kann.

Der Hauptunterschied zwischen den beiden besteht darin, dass die Schaltfläche Namen überprüfen nur genau das auflöst, was im Textfeld enthalten ist, während das Dialogfeld Personen und Gruppen auswählen nach der Abfragezeichenfolge sucht. Mithilfe der PeoplePicker-Peopleeditoronlyresolvewithinsitecollection -Eigenschaft oder der PeoplePicker-Onlysearchwithinsitecollection -Eigenschaft können Sie die Personenauswahl zwingen, nur Benutzer zurückzugeben, die Berechtigungen in der Websitesammlung besitzen. Die Eigenschaft, die Sie zum Konfigurieren dieser Einschränkung verwenden, hängt jedoch davon ab, ob Sie die Einschränkung für das Textfeld (Personen-Editor) und die Schaltfläche Namen überprüfen oder für das Dialogfeld Personen und Gruppen auswählen festlegen möchten.

Geben Sie den folgenden Befehl ein, um die Personenauswahl zu zwingen, nur Benutzer zurückzugeben, die über Berechtigungen in der Websitesammlung verfügen, wenn auf die Schaltfläche Namen überprüfen geklickt wird:

stsadm -o setproperty –pn peoplepicker-Peopleeditoronlyresolvewithinsitecollection –pv yes –url <Web application URL>

Geben Sie den folgenden Befehl ein, um die Personenauswahl zu zwingen, nur Benutzer zurückzugeben, die über Berechtigungen in der Websitesammlung verfügen, wenn das Dialogfeld Personen und Gruppen auswählen verwendet wird:

stsadm -o setproperty –pn peoplepicker-onlysearchwithinsitecollection –pv yes –url <Web application URL>

Weitere Informationen finden Sie unter Peoplepicker-onlysearchwithinsitecollection: Stsadm-Eigenschaft und Peoplepicker-peopleeditoronlyresolvewithinsitecollection: Stsadm-Eigenschaft.

Filtern von Active Directory-Konten mithilfe von LDAP-Abfragen

Sie können eine LDAP-Abfrage (Lightweight Directory Access Protocol) verwenden, um einen benutzerdefinierten Filter zum Anzeigen von Abfrageergebnissen zu erstellen. Weitere Informationen zu LDAP-Abfragen finden Sie unter Grundlegendes zu LDAP-Abfragen.

Geben Sie den folgenden Befehl ein, um eine benutzerdefinierte LDAP-Abfrage zu verwenden:

Stsadm –o setproperty –pn peoplepicker-searchadcustomfilter -pv <LDAP query filter> -url <Web application URL>

Im folgenden Beispiel werden Benutzerkonten herausgefiltert, die keine E-Mail-Adressen haben oder deaktiviert sind. Da Sicherheitsgruppen nicht immer E-Mail-Adressen zugeordnet sind, wird eine OR-Anweisung verwendet, um sicherzustellen, dass Sicherheitsgruppen weiterhin in den Abfrageergebnissen enthalten sind:

stsadm -o setproperty -pn peoplepicker-searchadcustomfilter -pv "(|(&(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))(objectcategory=group))" -url https://ServerName

Im folgenden Beispiel werden nur aktive Benutzer und keine Gruppen zurückgegeben:

stsadm -o setproperty -pn peoplepicker-searchadcustomfilter -pv "(&(objectCategory=person)(objectClass=user)(!userAccountControl:1.2.840.113556.1.4.803:=2))" -url https://ServerName

Eine Erläuterung der in dieser Abfrage verwendeten Benutzerkontensteuerungszeichenfolge finden Sie unter Suchfiltersyntax.

Das folgende Beispiel gibt eine Liste mit Active Directory-Benutzern mit dem Titel "Manager" zurück:

stsadm -o setproperty -pn peoplepicker-searchadcustomfilter -pv "((Title=Manager))" -url https://ServerName

Wichtig

Denken Sie daran, dass jedes Mal, wenn Sie den setproperty Befehl für eine bestimmte Eigenschaft ausführen, die aktuellen Werte dieser Eigenschaft durch die neuen Werte überschrieben werden, die Sie angeben. Wenn Sie Abfrageergebnisse auf der Grundlage mehrerer Kriterien filtern möchten, müssen Sie eine zusammengesetzte LDAP-Abfrage erstellen, die alle Werte enthält, nach denen Sie filtern möchten.

Weitere Informationen finden Sie unter Peoplepicker-searchadcustomfilter: Stsadm-Eigenschaft.

Zurückgeben ausschließlich von nicht-Active Directory-Benutzerkonten

Wenn Ihre Webanwendung die formularbasierte Authentifizierung verwendet, können Sie verhindern, dass die Personenauswahl in den Abfrageergebnissen Active Directory-Konten zurückgibt.

Geben Sie den folgenden Befehl ein, um nur nicht-Active Directory-Benutzerkonten zurückzugeben:

stsadm -o setproperty -pn peoplepicker-nowindowsaccountsfornonwindowsauthenticationmode -pv yes -url <Web application URL>

Weitere Informationen finden Sie unter Peoplepicker-nowindowsaccountsfornonwindowsauthenticationmode: Stsadm-Eigenschaft.

Siehe auch