人员选取器概述 (SharePoint Foundation 2010)
适用于: SharePoint Foundation 2010
上一次修改主题: 2016-11-30
当网站、列表或库所有者分配 Microsoft SharePoint Foundation 2010 中的权限时,可使用人员选取器控件查找和选择人员、组和声明。本文介绍了人员选取器控件及其工作方式,其与身份验证和声明提供程序的关系,以及规划人员选取器的方式。有关如何配置人员选取器的信息,请参阅配置人员选取器 (SharePoint Foundation 2010)。
在阅读本文之前,您应了解规划身份验证方法 (SharePoint Foundation 2010) 和声明的角色(该链接可能指向英文页面) (https://go.microsoft.com/fwlink/?linkid=208326&clcid=0x804)(该链接可能指向英文页面) 中描述的概念。有关基于声明的身份验证的附加信息,请参阅 SharePoint 基于声明的标识 (https://go.microsoft.com/fwlink/?linkid=196647&clcid=0x804)。
本文内容:
用法与好处
体系结构
关于人员选取器控件
人员选取器和身份验证
人员选取器和声明提供程序
配置人员选取器
将人员选取器用于多个林或域
人员选取器的注意事项
用法与好处
人员选取器控件用于选择用户、组和声明以授予项目(如列表、库和网站)的权限。例如,您的网站有一个只允许某些用户访问的文档库。当您使用库权限页为用户提供库的权限级别时,可以使用人员选取器控件键入用户名并验证用户帐户是否有效,也可以使用人员选取器控件搜索名称或部分字符串并返回与输入值匹配的用户、组或声明的列表。有关权限的详细信息,请参阅规划网站权限 (SharePoint Foundation 2010)。
体系结构
人员选取器控件是 SharePoint Foundation 2010 的核心组件。该控件提供了用于查找和选择用户、组和声明以分配网站权限的基本功能。这些用户、组和声明的源取决于包含网站集的 Web 应用程序所使用的身份验证方法。有关身份验证方法的详细信息,请参阅本文后面的人员选取器和身份验证。
可以通过使用 Stsadm setproperty 操作为服务器场配置区域级别的人员选取器。通过配置该控件的设置,可以筛选和限制当用户搜索用户、组或声明时显示的结果。这些设置将应用于特定网站集中的每个网站。有关配置人员选取器的详细信息,请参阅配置人员选取器 (SharePoint Foundation 2010)。
备注
没有用于配置人员选取器的 Windows PowerShell 命令。
在将 Web 应用程序配置为使用基于声明的身份验证时,人员选取器会使用声明提供程序来解析用户、组和声明并将它们显示在“选择人员和组”对话框中。“选择人员和组”对话框中显示的信息取决于为 Web 应用程序配置的身份验证方法所使用的声明提供程序。有关声明提供程序的详细信息,请参阅人员选取器的自定义声明提供程序 (SharePoint Foundation 2010)。
关于人员选取器控件
人员选取器控件包含一个文本框和两个按钮(即“检查名称”按钮和“浏览”按钮)。下图演示了一个人员选取器控件的示例。
.jpg "“人员选取器”编辑器")
用户在文本框中键入用户名、组名或声明(如电子邮件地址),然后单击“检查名称”按钮以便在输入搜索项时进行准确解析。如果人员选取器能够解析搜索项,则名称将替换为解析的标识。如果在输入搜索项时无法准确解析,则人员选取器会执行搜索。如果未找到匹配项或找到了多个匹配项,则搜索项下方会显示一条红色下划线,并显示以下错误消息:“未找到完全匹配项。请单击未解析的项目以获取更多选项。”单击项目时,弹出菜单将显示与查询匹配的可用用户、组或声明的列表(如果适用)。该菜单还包含一个“删除”按钮和一个“更多名称”按钮,前者用于从文本框中删除解析的用户、组或声明,后者用于打开“选择人员和组”对话框。
如果用户单击“浏览”按钮,则会显示“选择人员和组”对话框。用户在文本框中键入完整或部分用户名、组名或声明,然后按 Enter。查询结果会显示在该对话框中。与人员选取器交互的声明提供程序可确定查询结果以及这些结果在该对话框中显示的方式。用户选择一个解析的标识,再单击“添加”,然后单击“确定”。之后,选定的用户、组或声明会添加到人员选取器控件的文本框中。
在将 Web 应用程序配置为使用 Windows 身份验证时,可以通过使用 Stsadm setproperty 操作更改人员选取器控件的设置,使显示给用户的结果仅显示在“选择人员和组”对话框中。例如,可以将人员选取器配置为仅返回属于特定 Active Directory 域或作为特定网站集成员的用户、组和声明。有关配置人员选取器控件的详细信息,请参阅配置人员选取器 (SharePoint Foundation 2010)。
人员选取器和身份验证
人员选取器依赖于包含网站集(将从中查询人员选取器来确定向用户显示的结果)的 Web 应用程序所使用的身份验证方法。如果将 Web 应用程序配置为在经典模式中使用 Windows 身份验证,则 SharePoint Foundation 2010 会将用户帐户视为 Active Directory 域服务 (AD DS) 帐户。如果将 Web 应用程序配置为使用基于声明的身份验证,则可指定是使用 Windows 身份验证、基于表单的身份验证 (FBA) 还是基于安全声明标记语言 (SAML) 令牌的身份验证。在声明模式中,人员选取器将基于为 Web 应用程序和区域所使用的身份验证方法指定的声明提供程序来搜索和解析查询。以下各节介绍针对经典模式身份验证和基于声明的身份验证的人员选取器行为。有关区域和身份验证的详细信息,请参阅规划身份验证方法 (SharePoint Foundation 2010)。
经典模式身份验证
在使用 Windows 经典模式身份验证时,人员选取器控件会查询 Active Directory 以检索与文本框中键入的搜索项匹配的用户、组或声明的列表。可以通过使用轻型目录访问协议 (LDAP) 查询将人员选取器配置为查询 Active Directory,利用该查询,您可以应用自定义 Active Directory 筛选器、限制搜索查询的范围以及跨林和域进行搜索。
默认情况下,在单击“浏览”按钮时,“选择人员和组”对话框会显示以下字段:
显示名称
职务
部门
电子邮件
手机号码
帐户名
下图显示了在经典模式中对 Web 应用程序使用 Windows 身份验证时的“选择人员和组”对话框。
.jpg "选择人员和组 - 经典模式")
有关经典模式身份验证的详细信息,请参阅规划身份验证方法 (SharePoint Foundation 2010)。有关如何创建使用经典模式身份验证的 Web 应用程序的信息,请参阅创建使用 Windows 经典身份验证的 Web 应用程序 (SharePoint Foundation 2010)。
基于声明的身份验证
在使用基于声明的身份验证时,人员选取器会使用为 Web 应用程序和区域所使用的身份验证方法指定的声明提供程序,以检索与文本框中键入的搜索项匹配的用户、组或声明的列表。有关声明模式身份验证和区域的详细信息,请参阅规划身份验证方法 (SharePoint Foundation 2010)。
默认情况下,在单击“浏览”按钮时,“选择人员和组”对话框的左侧会显示一个树视图,其中列出了人员选取器将查询的声明提供程序。该对话框的右侧会显示查询结果。在使用基于声明的身份验证时,将在以下两种视图之一中显示结果:“详细视图”或“列表视图”。默认情况下,将显示“详细视图”。
下图显示了在声明模式中对 Web 应用程序使用 Windows 身份验证时的“选择人员和组”对话框。
.jpg "选择人员和组 - Windows 声明模式")
在“详细视图”中,将按查询结果所在的源对查询结果进行分组。例如,如果在 SharePoint 组和 Active Directory 中找到了搜索项,则会将结果组织到 SharePoint 组的列表中,该列表后跟一个 Active Directory 用户和组的列表。
在“列表视图”中,将在包含以下字段的列表中返回查询结果:
显示名称
电子邮件地址
职务
部门
状态
工作电话
位置
您可以编写自定义声明提供程序来控制要显示的信息和返回的结果,以响应来自人员选取器控件的查询。在服务器上注册一个自定义声明提供程序时,还可以对其进行配置以便在特定的 Web 应用程序和区域中使用。这意味着,专为某个区域配置的自定义声明提供程序仅显示在该区域中的网站的“选择人员和组”对话框中。有关自定义声明提供程序的详细信息,请参阅人员选取器的自定义声明提供程序 (SharePoint Foundation 2010)。
备注
在管理中心网站中,人员选取器将返回来自服务器场中所有 Web 应用程序中使用的所有声明提供程序的用户、组和声明,不管在其中配置声明提供程序的 Web 应用程序或区域如何。
默认情况下,在使用基于 SAML 令牌的身份验证时,文本框中输入的所有查询都将自动显示(如同它们已经过解析一样),而不管它们是有效用户还是有效组。如果您的 SharePoint Foundation 2010 解决方案将使用基于 SAML 令牌的身份验证,则应计划创建一个将实现自定义搜索、名称解析和列表功能的自定义声明提供程序。有关自定义声明提供程序的详细信息,请参阅人员选取器的自定义声明提供程序 (SharePoint Foundation 2010)。
有关如何创建使用声明模式身份验证的 Web 应用程序的信息,请参阅创建使用 Windows 声明身份验证的 Web 应用程序 (SharePoint Foundation 2010)。有关为 Web 应用程序配置基于声明的身份验证的信息,请参阅配置声明身份验证 (SharePoint Foundation 2010)。
人员选取器和声明提供程序
在使用基于声明的身份验证时,声明提供程序会在人员选取器中列出、解析、搜索和确定用户、组和声明的“友好”显示。如果 Web 应用程序使用基于声明的身份验证,则必须决定是使用默认声明提供程序之一,还是创建自定义声明提供程序来满足组织的业务需求。
有关声明提供程序与人员选取器控件的相关性的详细信息,请参阅人员选取器的自定义声明提供程序 (SharePoint Foundation 2010)。
配置人员选取器
本节中的信息仅适用于在经典模式或声明模式中使用 Windows 身份验证的 Web 应用程序。
可以将人员选取器配置为筛选查询结果并使用 Stsadm setproperty 操作的属性名称来限制人员选取器用作结果源的目录。若要查看已配置的属性设置,请使用 Stsadm getproperty 操作。有关详细信息,请参阅 Peoplepicker:Stsadm 属性 (Office SharePoint Server 2007)。人员选取器的设置将应用于 Web 应用程序的每个 URL 区域。
备注
没有用于配置人员选取器的 Windows PowerShell 命令。
下表描述了可用于配置人员选取器的属性。
| 属性名称 | 说明 |
|---|---|
Peoplepicker-activedirectorysearchtimeout |
配置向 Active Directory 发出查询时的超时时间。默认超时值为 30 秒。有关详细信息,请参阅 Peoplepicker-activedirectorysearchtimeout。 |
Peoplepicker-distributionlistsearchdomains |
将通讯组列表的搜索限制为几个特定的域。有关详细信息,请参阅 Peoplepicker-distributionlistsearchdomains。 |
Peoplepicker-nowindowsaccountsfornonwindowsauthenticationmode |
指定在当前端口使用基于表单的身份验证时不搜索 Active Directory。有关详细信息,请参阅 Peoplepicker-nowindowsaccountsfornonwindowsauthenticationmode。 |
Peoplepicker-onlysearchwithinsitecollection |
在使用“选择人员和组”对话框时仅显示作为网站集成员的用户。有关详细信息,请参阅 Peoplepicker-onlysearchwithinsitecollection。 |
Peoplepicker-peopleeditoronlyresolvewithinsitecollection |
在单击“检查名称”按钮时仅显示作为当前网站集成员的用户。有关详细信息,请参阅 Peoplepicker-peopleeditoronlyresolvewithinsitecollection:Stsadm 属性 (SharePoint Foundation 2010)。 |
Peoplepicker-searchadcustomfilter |
使服务器场管理员能够指定唯一搜索查询。有关详细信息,请参阅 Peoplepicker-searchadcustomfilter。 |
Peoplepicker-searchadcustomquery |
允许管理员设置发送到 Active Directory 的自定义查询。有关详细信息,请参阅 Peoplepicker-searchadcustomquery。 |
Peoplepicker-searchadforests |
允许用户从另一个单向信任的林或域中搜索。有关详细信息,请参阅 Peoplepicker-searchadforests。 |
Peoplepicker-serviceaccountdirectorypaths |
使服务器场管理员能够管理具有 Setsiteuseraccountdirectorypath 设置中定义的特定组织单元 (OU) 设置的网站集。有关详细信息,请参阅 Peoplepicker-serviceaccountdirectorypaths。 |
有关配置人员选取器的详细信息,请参阅配置人员选取器 (SharePoint Foundation 2010)。
将人员选取器用于多个林或域
默认情况下,人员选取器仅从安装了 SharePoint Foundation 2010 的域中返回组、用户和声明。如果您希望人员选取器从多个林或域中返回查询结果,则必须在林之间或域之间建立双向信任,或者您必须将人员选取器配置为对林和域之间的单向信任使用加密帐户和密码。有关信任的详细信息,请参阅管理信任 (https://go.microsoft.com/fwlink/?linkid=207573&clcid=0x804)。
若要为单向信任配置人员选取器,您必须先使用 Stsadm setapppassword 操作设置密码以便在受信任的林或域上使用,然后使用 setproperty 操作的 Peoplepicker-searchadforests 属性指定要搜索的林或域。请记住,会对 Web 应用程序的每个区域都配置人员选取器设置,因此,如果服务器场中有多个林或域,则必须将帐户和密码合并为 setproperty 操作的一个命令。有关详细信息,请参阅 Peoplepicker-searchadforests:Stsadm 属性 (Office SharePoint Server)。
人员选取器的注意事项
规划人员选取器在很大程度上取决于您希望用户可查询的林和域以及您希望在查询结果中显示的用户、组和声明。在规划希望用户查询的林和域时,请考虑以下问题:
用户是否需要跨林或域进行查询?
您希望用户查询每个林或域的 DNS 名称是什么?
您的林或域与其他林或域之间是存在单向信任还是双向信任?
如果您将使用单向信任,那么使用哪些凭据来查询其他服务器场或域?
规划希望在人员选取器的查询结果中显示的用户、组和声明,可帮助您确定如何将人员选取器配置为从声明提供程序返回并显示结果。在规划希望在查询结果中显示的用户、组和声明时,请考虑以下问题:
是否存在希望应用于查询结果的特定 LDAP 筛选器?
是否要将查询结果限制为特定网站集中的用户、组或声明?
是否要将查询结果限制为特定 Active Directory 组织单元 (OU) 中的用户、组或声明?
See Also
Concepts
规划身份验证方法 (SharePoint Foundation 2010)
人员选取器的自定义声明提供程序 (SharePoint Foundation 2010)
配置人员选取器 (SharePoint Foundation 2010)