設定人員選擇器 (SharePoint Server 2010)
適用版本: SharePoint Foundation 2010, SharePoint Server 2010
上次修改主題的時間: 2016-11-30
「人員選擇」透過 Stsadm setproperty 作業,設定於伺服器陣列的區域層級。設定此控制項的設定,即可篩選及限制使用者搜尋使用者、群組或宣告時會顯示的結果。這些設定會套用至網站集合內的每一個網站。
本文中的資訊只適用於使用於傳統模式或宣告模式中使用 Windows 驗證的 Web 應用程式。
網站、清單或文件庫擁有者在 Microsoft SharePoint Server 2010 中指派權限時,會使用「人員選擇」控制項來尋找及選取使用者、群組與宣告。「人員選擇」透過 Stsadm setproperty 作業,設定於伺服器陣列的區域層級。設定此控制項的設定,即可篩選及限制使用者搜尋使用者、群組或宣告時會顯示的結果。這些設定會套用至網站集合內的每一個網站。如需「人員選擇」屬性的詳細資訊,請參閱 Peoplepicker:Stsadm 屬性 (Office SharePoint Server)。
注意
沒有 Windows PowerShell 命令可設定「人員選擇」。
本文包含如何設定特定案例之「人員選擇」的資訊。如需「人員選擇」控制項及其運作方式、其與驗證及宣告提供者之關係,以及如何規劃「人員選擇」的詳細資訊,請參閱<人員選擇器概觀 (SharePoint Server 2010)>。
您必須執行下列作業,才可執行本文中的程序:
確認用以執行 Stsadm 的帳戶是 SharePoint Server 2010 安裝所在之伺服器上本機系統管理員群組的成員。
以管理員身分開啟命令提示字元視窗,執行本文中的程序。
在 SharePoint Server 2010 安裝所在之磁碟機的命令提示字元處,變更至下列目錄:%COMMONPROGRAMFILES%\Microsoft shared\Web server extensions\14\Bin。
本文內容:
查看任何屬性的設定值
清除人員選擇的屬性值
設定與單向信任搭配使用的加密金鑰
使用單向信任時啟用跨樹系或跨網域查詢
將人員選擇限制為 Active Directory 中的特定群組
定義管理員帳戶的位置
強制人員選擇只選擇網站集合中的使用者
使用 LDAP 查詢篩選 Active Directory 帳戶
只傳回非 Active Directory 使用者帳戶
查看任何屬性的設定值
若要查任何「人員選擇」屬性的設定,請輸入下列命令:
stsadm.exe -o getproperty -pn <屬性名稱> -url <Web 應用程式 URL>
如需詳細資訊,請參閱 Peoplepicker:Stsadm 屬性 (Office SharePoint Server) (https://technet.microsoft.com/zh-tw/library/cc263318(office.12).aspx)。
清除人員選擇的屬性值
指定您想要清除的屬性名稱,並使用空的引號作為屬性值,即可移除「人員選擇」屬性的設定。
若要移除「人員選擇」的屬性設定,請輸入下列命令:
stsadm.exe -o setproperty -pn <屬性名稱> -pv "" -url <Web 應用程式 URL>
如需詳細資訊,請參閱 Peoplepicker-searchadforests:Stsadm 屬性 (Office SharePoint Server) (https://technet.microsoft.com/zh-tw/library/cc263460(office.12).aspx)。
設定與單向信任搭配使用的加密金鑰
如果 SharePoint Server 2010 安裝所在的樹系或網域,與另一個樹系或網域具有單向信任,您必須先設定可驗證要查詢的樹系或網域之帳戶的認證,才可使用 Stsadm peoplepicker-searchadforests 屬性。
注意
加密金鑰必須設定於 SharePoint Server 2010 安裝所在之伺服器陣列中的每部前端網頁伺服器中。
若要設定加密金鑰,請輸入下列命令:
stsadm.exe -o setapppassword -password <金鑰>
如需查詢其他樹系或網域的詳細資訊,請參閱 SharePoint 中人員選擇的須知 (功能 | 設定 | 疑難排解) 第 2 部分 (可能為英文網頁) (https://go.microsoft.com/fwlink/?linkid=207666&clcid=0x404)(可能為英文網頁)。
使用單向信任時啟用跨樹系或跨網域查詢
如果 SharePoint Server 2010 安裝所在的樹系或網域,與另一個樹系或網域具有單向信任,則除了要查詢的樹系或網域名稱之外,還必須指定用以查詢樹系或網域的認證。「人員選擇」只會查詢 peoplepicker-searchadforests 屬性設定中所指定的樹系或網域。
若要指定要查詢的樹系或網域以及認證,請輸入下列命令:
stsadm.exe -o setproperty -pn peoplepicker-searchadforests -pv <有效的樹系或網域、登入名稱、密碼清單> -url <Web 應用程式 URL>
注意
使用 peoplepicker-searchadforests 屬性時,不需要包括指派給帳戶的加密金鑰密碼。但是,若您尚未設定帳戶的加密金鑰,則會顯示一則錯誤訊息。
下列範例將設定與 Contoso.com 樹系及 Fabrikam.com 網域搭配使用的「人員選擇」,並會包括以下每個項目的認證:
STSADM.exe -o setproperty -pn peoplepicker-searchadforests -pv "forest:Contoso.com,Contoso\User1,Password1; domain:Fabrikam.com,Fabrikam\User2,Password2" -url https://ServerName
如需詳細資訊,請參閱 Peoplepicker-searchadforests:Stsadm 屬性 (Office SharePoint Server) (https://technet.microsoft.com/zh-tw/library/cc263460(office.12).aspx)。
將人員選擇限制為 Active Directory 中的特定群組
如果 Web 應用程式使用 Windows 驗證,但未設定網站使用者目錄路徑,則「人員選擇」控制項會搜尋整個 Active Directory 以解析使用者的名稱或是尋找使用者,而不會只搜尋特定組織單位 (OU) 內的使用者。Stsadm setsiteuseraccountdirectorypath 作業允許使用者的目錄路徑設定為相同網域中的特定 OU。將目錄路徑設定為網站集合之後,「人員選擇」控制項只會於該特定的 OU 下進行搜尋。
若要將人員選擇限制為 Active Directory 中的特定 OU,請輸入下列命令:
stsadm -o setsiteuseraccountdirectorypath -path <有效的 OU 名稱> –url <Web 應用程式 URL>
下列範例設定「人員選擇」只傳回 OU 中名為 "Sales" 的使用者與群組:
stsadm -o setsiteuseraccountdirectorypath -path "OU=Sales,DC=ContosoCorp,DC=local" -url https://ServerName
注意
每次只可為一個網站集合設定一個網站使用者目錄路徑。由於此屬性一次只可指定一個 OU,因此每次只能對一個網站集合執行一次 Stsadm setsiteuseraccountdirectorypath。
如需詳細資訊,請參閱 Setsiteuseraccountdirectorypath:Stsadm 作業 (Office SharePoint Server) (https://technet.microsoft.com/zh-tw/library/cc263328(office.12).aspx)。
定義管理員帳戶的位置
管理使用者帳戶通常位於和一般網站使用者不同的 OU 中。如果您已使用 Stsadm setsiteuseraccountdirectorypath 作業強制「人員選擇」只傳回特定 OU 的查詢結果,則也必須設定 Stsadm peoplepicker-serviceaccountdirectorypaths 屬性,讓管理員可以管理該網站集合。
注意
您必須先設定 Setsiteuseraccountdirectorypath 作業,且該作業需要包含值,peoplepicker-serviceaccountdirectorypaths 屬性才有作用。
若要定義管理員帳戶的位置,請輸入下列命令:
Stsadm -o setproperty -pn peoplepicker-serviceaccountdirectorypaths -pv <OU 名稱清單> -url <Web 應用程式 URL>
下列範例設定「人員選擇」可允許 OU "FarmAdmin" 中的使用者:
stsadm -o setproperty -pn peoplepicker-serviceaccountdirectorypaths -pv "OU=FarmAdmin,DC=Contoso,DC=local" -url https://ServerName
如需詳細資訊,請參閱 Peoplepicker-serviceaccountdirectorypaths:Stsadm 屬性 (Office SharePoint Server) (https://technet.microsoft.com/zh-tw/library/cc263012(office.12).aspx)。
強制人員選擇只選擇網站集合中的使用者
「人員選擇」控制項包含一個文字方塊及兩個按鈕;[檢查名稱] 按鈕及 [瀏覽] 按鈕。[檢查名稱] 按鈕可用以解析文字方塊中所輸入的使用者名稱、群組名稱或電子郵件地址。[瀏覽] 按鈕會開啟 [選取人員與群組] 對話方塊,用以提交整個或局部字串的查詢。兩者之間的重要差異,是 [檢查名稱] 按鈕只會解析文字方塊中完全一樣的項目,而 [選取人員與群組] 對話方塊則會搜尋查詢字串。使用 PeoplePicker-Peopleeditoronlyresolvewithinsitecollection 屬性或 PeoplePicker-Onlysearchwithinsitecollection 屬性,可以強制「人員選擇」只傳回具有網站集合中權限的使用者。但是,用以設定此限制的屬性,將取決於想要設定文字方塊 (人員編輯器) 及 [檢查名稱] 按鈕的限制,或是設定 [選取人員與群組] 對話方塊的限制。
若要強制「人員選擇」在按一下 [檢查名稱] 按鈕時只傳回具有網站集合中權限的使用者,請輸入下列命令:
stsadm -o setproperty –pn peoplepicker-Peopleeditoronlyresolvewithinsitecollection –pv yes –url <Web 應用程式 URL>
若要強制「人員選擇」在使用 [選取人員與群組] 對話方塊時只傳回具有網站集合中權限的使用者,請輸入下列命令:
stsadm -o setproperty –pn peoplepicker-onlysearchwithinsitecollection –pv yes –url <Web 應用程式 URL>
如需詳細資訊,請參閱 Peoplepicker-onlysearchwithinsitecollection:Stsadm 屬性 (Office SharePoint Server) (https://technet.microsoft.com/zh-tw/library/cc261988(office.12).aspx) and Peoplepicker-peopleeditoronlyresolvewithinsitecollection:Stsadm 屬性 (SharePoint Server 2010)。
使用 LDAP 查詢篩選 Active Directory 帳戶
您可以使用輕量型目錄存取通訊協定 (LDAP) 查詢,建立用以顯示查詢結果的自訂篩選。如需 LDAP 查詢的詳細資訊,請參閱 LDAP 查詢基本概要 (https://go.microsoft.com/fwlink/?linkid=207670&clcid=0x404)。
若要使用自訂 LDAP 查詢,請輸入下列命令:
Stsadm –o setproperty –pn peoplepicker-searchadcustomfilter -pv <LDAP 查詢篩選> -url <Web 應用程式 URL>
下列範例將篩選出沒有電子郵件地址或其已停用的使用者帳戶。因為安全性群組不一定都會有相關聯的電子郵件地址,所以可利用 OR 陳述式確認安全性群組是否仍包括在查詢結果中:
stsadm -o setproperty -pn peoplepicker-searchadcustomfilter -pv "(|(&(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))(objectcategory=group))" -url https://ServerName
下列範例只會傳回使用中使用者,而非群組:
stsadm -o setproperty -pn peoplepicker-searchadcustomfilter -pv "(&(objectCategory=person)(objectClass=user)(!userAccountControl:1.2.840.113556.1.4.803:=2))" -url https://ServerName
如需此查詢中所使用之使用者帳戶控制字串的說明,請參閱搜尋篩選語法(可能為英文網頁) (https://go.microsoft.com/fwlink/?linkid=210020&clcid=0x404)(可能為英文網頁)。
下列範例會傳回標題為 "Manager" 的 Active Directory 使用者清單:
stsadm -o setproperty -pn peoplepicker-searchadcustomfilter -pv "((Title=Manager))" -url https://ServerName
重要
請記住,每次執行特定屬性的 setproperty 命令時,將會以指定的新值覆寫該屬性目前的值。如果您需要根據多重準則來篩選查詢結果,您需要建置內含想要篩選之所有值的複合 LDAP 查詢。
如需詳細資訊,請參閱 Peoplepicker-searchadcustomfilter:Stsadm 屬性 (Office SharePoint Server) (https://technet.microsoft.com/zh-tw/library/cc263452(office.12).aspx)。
只傳回非 Active Directory 使用者帳戶
若 Web 應用程式使用表單型驗證,則可防止「人員選擇」在查詢結果中傳回 Active Directory 帳戶。
若只要傳回非 Active Directory 使用者帳戶,請輸入下列命令:
stsadm -o setproperty -pn peoplepicker-nowindowsaccountsfornonwindowsauthenticationmode -pv yes -url <Web 應用程式 URL>
如需詳細資訊,請參閱 Peoplepicker-nowindowsaccountsfornonwindowsauthenticationmode:Stsadm 屬性 (Office SharePoint Server) (https://technet.microsoft.com/zh-tw/library/cc263264(office.12).aspx)。