Поделиться через

Настройка средства выбора людей в SharePoint Server

  • Статья

ПРИМЕНИМО К:yes-20102010 yes-20132013 yes-20162016 yes-20192019 no-seSubscription Edition

Средство выбора людей можно настроить для фермы на уровне зоны с помощью операции stsadm setproperty . Настроив параметры для этого элемента управления, можно фильтровать и ограничивать результаты, отображаемые при поиске пользователем пользователя, группы или утверждения. Эти параметры будут применяться ко всем сайтам в семействе сайтов.

Данная статья относится только к веб-приложениям, в которых используется проверка подлинности Windows в классическом режиме или на основе утверждений.

Элемент управления "Выбор людей" используется для поиска и выбора пользователей, групп и утверждений, когда владелец сайта, списка или библиотеки назначает разрешения в Microsoft SharePoint Server. Дополнительные сведения о свойствах средства выбора людей см. в разделе Свойства Peoplepicker: Stsadm.

Примечание.

Команд Windows PowerShell для настройки средства выбора людей в SharePoint Server 2010, SharePoint Server 2013, SharePoint Server 2016 или SharePoint Server 2019 не существует. Однако вы можете использовать команды PowerShell для настройки средства выбора людей в SharePoint Subscription Edition. Дополнительные сведения см. в разделе Настройка средства выбора людей в SharePoint Subscription Edition.

В этой статье содержатся сведения о настройке средства выбора людей для конкретных сценариев. Дополнительные сведения об элементе управления "Выбор людей" и его работе, его связи с поставщиками проверки подлинности и утверждений, а также о планировании средства выбора людей см. в статье Обзор средства выбора людей и поставщиков утверждений.

Предварительные требования для настройки средства выбора людей

Перед настройкой средства выбора людей убедитесь, что выполнены следующие требования:

  • Убедитесь, что учетная запись, используемая для запуска Stsadm , входит в локальную группу администраторов на сервере, на котором установлен SharePoint Server.

  • Для выполнения процедур из данной статьи откройте окно командной строки от имени администратора.

  • В командной строке драйвера, где установлен SharePoint Server, перейдите в следующий каталог: %CommonProgramFiles%\Microsoft Shared\Web Server Extensions\x\Bin.

    Примечание.

    Замените значение сопоставления чисел, то есть "x" в каталоге в зависимости от установленной версии SharePoint. Ниже приведены версии SharePoint и соответствующие значения сопоставления чисел.

    • SharePoint 2010: 14
    • SharePoint 2013: 15
    • SharePoint 2016 и SharePoint 2019: 16

Настройка параметров выбора людей

После выполнения предварительных требований можно выполнить следующие процедуры:

Проверка значений свойств

Чтобы проверить значение для любого свойства средства выбора людей, выполните следующую команду:

stsadm.exe -o getproperty -pn <Property Name> -url <Web application URL>

Дополнительные сведения см. в статье Peoplepicker: свойства Stsadm.

Сброс значения свойства в средстве выбора людей

Вы можете удалить параметр для свойства Выбора людей, указав имя свойства, которое нужно очистить, и используя пустые кавычки для значения свойства.

Чтобы удалить значение свойства в средстве выбора людей, выполните следующую команду:

stsadm.exe -o setproperty -pn <Property Name> -pv "" -url <Web application URL>

Дополнительные сведения см. в статье Peoplepicker-searchadforests: свойство Stsadm.

Установка ключа шифрования для использования в одностороннем отношении доверия

Если лес или домен, в котором установлен SharePoint Server, имеет односторонний доверия с другим лесом или доменом, сначала необходимо задать учетные данные для учетной записи, которой разрешено проходить проверку подлинности в лесу или домене, прежде чем можно будет использовать свойство Stsadm peoplepicker-searchadforests .

Примечание.

Ключ шифрования должен быть задан на каждом интерфейсном веб-сервере фермы, на которой установлен SharePoint Server.

Чтобы задать ключ шифрования, выполните следующую команду:

stsadm.exe -o setapppassword -password <key>

Разрешение запросов к другим лесам или доменам с односторонним отношением доверия

Если лес или домен, на котором установлен SharePoint Server, имеет односторонний доверия с другим лесом или доменом, необходимо указать учетные данные, которые будут использоваться для запроса леса или домена, в дополнение к именам лесов или доменов, к которым будет выполняться запрос. Средство выбора людей отправляет запросы только тем лесам или доменам, которые указаны в свойстве peoplepicker-searchadforests.

Чтобы задать леса или домены, к которым будут направляться запросы, выполните следующую команду:

stsadm.exe -o setproperty -pn peoplepicker-searchadforests -pv <Valid list of forests or domains, Login name, Password> -url <Web application URL>

Примечание.

При использовании свойства peoplepicker-searchadforests не нужно включать пароль ключа шифрования, назначенный учетной записи. Однако если ключ шифрования для учетной записи еще не задан, появится сообщение об ошибке.

В следующем примере выполняется настройка средства выбора людей для работы с лесом под названием Contoso.com и доменом Fabrikam.com, для которых указываются учетные данные:

sTSADM.exe -o setproperty -pn peoplepicker-searchadforests -pv "forest:Contoso.com,Contoso\User1,Password1; domain:Fabrikam.com,Fabrikam\User2,Password2" -url https://ServerName

Дополнительные сведения см. в статье Peoplepicker-searchadforests: свойство Stsadm.

Ограничение средства выбора людей определенной группой в Active Directory

Если веб-приложение использует проверку подлинности Windows и путь к каталогу пользователя сайта не задан, элемент управления "Выбор людей" выполняет поиск по всему каталогу Active Directory, чтобы разрешить имена пользователей или найти пользователей, а не поиск только пользователей в определенном подразделении. Операция Stsadm setsiteuseraccountdirectorypath позволяет задавать определенной подразделение домена в качестве пути к каталогу пользователя. После того как для семейства веб-сайтов будет задан путь к каталогу, средство выбора людей будет выполнять поиск только в этом подразделении.

Чтобы ограничить средство выбора людей определенным подразделением в Active Directory, выполните следующую команду:

stsadm -o setsiteuseraccountdirectorypath -path <Valid OU name> –url <Web application URL>

В следующем примере выполняется настройка средства выбора людей, чтобы оно возвращало только пользователей и группы из подразделения "Sales":

stsadm -o setsiteuseraccountdirectorypath -path "OU=Sales,DC=ContosoCorp,DC=local" -url https://ServerName

Примечание.

Для семейства веб-сайтов одновременно можно задать только один путь к каталогу пользователя сайта. Таким образом, это свойство указывает только одно подразделение за раз, и операцию Stsadm setsiteuseraccountdirectorypath следует выполнять только один раз для каждого семейства веб-сайтов.

Дополнительные сведения см. в статье Setsiteuseraccountdirectorypath: операция stsadm.

Определение расположения учетных записей администраторов

Учетные записи администраторов часто размещаются в подразделении, отличном от обычных пользователей сайта. Если вы использовали операцию Stsadm setsiteuseraccountdirectorypath , чтобы принудительно возвращать запрос, полученный из определенного подразделения, необходимо также задать свойство Stsadm peoplepicker-serviceaccountdirectorypaths , чтобы администратор смог управлять семейством веб-сайтов.

Примечание.

Прежде чем свойство peoplepicker-serviceaccountdirectorypaths будет работать, операция Setsiteuseraccountdirectorypath должна содержать значение .

Чтобы определить расположение учетных записей администраторов, выполните следующую команду:

stsadm -o setproperty -pn peoplepicker-serviceaccountdirectorypaths -pv <A list of OU names> -url <Web application URL>

В следующем примере выполняется настройка средства выбора людей, чтобы оно работало с пользователями из подразделения "FarmAdmin":

stsadm -o setproperty -pn peoplepicker-serviceaccountdirectorypaths -pv "OU=FarmAdmin,DC=Contoso,DC=local" -url https://ServerName

Дополнительные сведения см. в разделе Peoplepicker-serviceaccountdirectorypaths: свойство Stsadm).

Ограничение поиска в средстве выбора людей только пользователями из семейства сайтов

Элемент управления "Выбор людей" состоит из текстового поля и двух кнопок, таких как кнопка "Проверить имена" и " Обзор ".

  • Кнопка Проверить имена используется для распознавания имени пользователя, имени группы или адреса электронной почты в точном соответствии с введенной в текстовом поле строкой.
  • Кнопка Обзор открывает диалоговое окно Выбор людей и групп, с помощью которого можно отправить поисковый запрос с полной строкой или ее фрагментом.

Основное различие между ними заключается в том, что кнопка Проверить имена разрешает только то, что находится в текстовом поле, в то время как диалоговое окно Выбор людей и групп выполняет поиск строки запроса. Средству выбора людей можно разрешить возвращать только тех пользователей, которым назначены разрешения в семействе веб-сайтов, используя свойство PeoplePicker-Peopleeditoronlyresolvewithinsitecollection или PeoplePicker-Onlysearchwithinsitecollection. Используемое свойство зависит от того, устанавливается ли ограничение для текстового поля (редактор средства выбора людей) и кнопки Проверить имена или для диалогового окна Выбор людей и групп.

Чтобы средство выбора людей при нажатии кнопки Проверить имена возвращало только пользователей, имеющих разрешения в семействе сайтов, выполните следующую команду:

stsadm -o setproperty –pn peoplepicker-Peopleeditoronlyresolvewithinsitecollection –pv yes –url <Web application URL>

Чтобы средство выбора людей при использовании диалогового окна Выбор людей и групп возвращало только пользователей, имеющих разрешения в семействе сайтов, выполните следующую команду:

stsadm -o setproperty –pn peoplepicker-onlysearchwithinsitecollection –pv yes –url <Web application URL>

Дополнительные сведения см. в разделах Peoplepicker-onlysearchwithinsitecollection: Stsadm property и Peoplepicker-peopleeditoronlyresolvewithinsitecollection: Stsadm property.

Фильтрация учетных записей Active Directory с помощью запросов LDAP

Для создания пользовательских фильтров для фильтрации результатов запросов можно использовать запросы LDAP. Дополнительные сведения о запросах LDAP см. в статье Основные сведения о запросах LDAP.

Чтобы выполнить пользовательский запрос LDAP, введите следующую команду:

Stsadm –o setproperty –pn peoplepicker-searchadcustomfilter -pv <LDAP query filter> -url <Web application URL>

В следующем примере выполняется фильтрация учетных записей пользователей, у которых нет адресов электронной почты или которые отключены. Так как с группами безопасности не всегда связаны адреса электронной почты, инструкция OR используется для того, чтобы группы безопасности по-прежнему включались в результаты запроса:

stsadm -o setproperty -pn peoplepicker-searchadcustomfilter -pv "(|(&(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))(objectcategory=group))" -url https://ServerName

В следующем примере возвращаются только активные пользователи, а не группы.

stsadm -o setproperty -pn peoplepicker-searchadcustomfilter -pv "(&(objectCategory=person)(objectClass=user)(!userAccountControl:1.2.840.113556.1.4.803:=2))" -url https://ServerName

Описание строки управления учетными записями пользователя, используемой в этом запросе, см. в разделе Синтаксис фильтра поиска.

В следующем примере возвращается список пользователей Active Directory с должностью "Manager" (менеджер):

stsadm -o setproperty -pn peoplepicker-searchadcustomfilter -pv "((Title=Manager))" -url https://ServerName

Важно!

Помните, что при каждом выполнении setproperty команды для определенного свойства текущие значения этого свойства будут перезаписаны новыми значениями, которые вы указали. При необходимости фильтрации результатов запроса на основании нескольких критериев нужно составить сложный запрос LDAP, включающий все значения, по которым требуется провести фильтрацию.

Дополнительные сведения см. в статье Peoplepicker-searchadcustomfilter: свойство Stsadm.

Возврат только учетных записей пользователей, отсутствующих в Active Directory

Если в веб-приложении используется проверка подлинности на основе форм, средство выбора людей можно настроить так, чтобы в результаты запроса не попадали учетные записи из каталога Active Directory.

Чтобы возвращать только учетные записи пользователей, отсутствующие в каталоге Active Directory, выполните следующую команду:

stsadm -o setproperty -pn peoplepicker-nowindowsaccountsfornonwindowsauthenticationmode -pv yes -url <Web application URL>

Дополнительные сведения см. в статье Peoplepicker-nowindowsaccountsfornonwindowsauthenticationmode: свойство Stsadm.

См. также