設定 SharePoint Server 中的人員選擇器
適用于:
訂閱版本
人員選擇器可以使用 Stsadm setproperty作業,在區域層級設定伺服器陣列。 藉由設定此控制項的設定,您可以篩選並限制使用者搜尋使用者、群組或宣告時所顯示的結果。 這些設定會套用至網站集合內的每個網站。
本文中的資訊僅適用于在傳統模式或宣告模式中使用Windows 驗證的 Web 應用程式。
當網站、清單或文件庫擁有者指派 Microsoft SharePoint Server 的許可權時,人員選擇器控制項可用來尋找及選取使用者、群組和宣告。 如需人員選擇器屬性的詳細資訊,請參閱Peoplepicker:Stsadm 屬性。
注意事項
沒有Windows PowerShell命令可在 SharePoint Server 2010、SharePoint Server 2013、SharePoint Server 2016 或 SharePoint Server 2019 中設定人員選擇器。 不過,您可以使用 PowerShell 命令在 SharePoint 訂閱版本中設定人員選擇器。 如需詳細資訊,請參閱 Configure 人員 Picker in SharePoint Subscription Edition。
本文包含如何針對特定案例設定人員選擇器的資訊。 如需人員選擇器控制項及其運作方式、其與驗證和宣告提供者的關係,以及如何規劃人員選擇器的詳細資訊,請參閱人員選擇器和宣告提供者概觀。
設定人員選擇器的必要條件
設定人員選擇器之前,請確定符合下列需求:
確認您用來
Stsadm執行的帳戶是安裝 SharePoint Server 之伺服器上本機 Administrators 群組的成員。以系統管理員身分開啟命令提示字元視窗,以執行本文中的程式。
在安裝 SharePoint Server 的驅動程式命令提示字元中,變更為下列目錄:
%CommonProgramFiles%\Microsoft Shared\Web Server Extensions\x\Bin。注意事項
根據您已安裝的 SharePoint 版本,取代目錄中 「x」 的數位對應值。 以下是 SharePoint 版本及其各自的數位對應值:
- SharePoint 2010: 14
- SharePoint 2013: 15
- SharePoint 2016 和 SharePoint 2019: 16
人員選擇器設定組態
符合必要條件之後,您可以執行下列程式:
- 檢查任何屬性的設定值
- 從 [選擇器] 人員清除屬性值
- 設定加密金鑰以搭配單向信任使用
- 使用單向信任啟用跨樹系或跨網域查詢
- 將人員選擇器限制為 Active Directory 中的特定群組
- 定義系統管理員帳戶的位置
- 強制人員選擇器只從網站集合中的使用者挑選
- 使用 LDAP 查詢篩選 Active Directory 帳戶
- 只傳回非 Active Directory 使用者帳戶
檢查任何屬性的設定值
若要檢查任何 人員 Picker 屬性的設定,請輸入下列命令:
stsadm.exe -o getproperty -pn <Property Name> -url <Web application URL>
如需詳細資訊,請 參閱 Peoplepicker:Stsadm 屬性。
從 [選擇器] 人員清除屬性值
您可以藉由指定要清除的屬性名稱,並使用屬性值的空白引號,移除人員選擇器屬性的設定。
若要從 [選擇器] 人員移除屬性設定,請輸入下列命令:
stsadm.exe -o setproperty -pn <Property Name> -pv "" -url <Web application URL>
如需詳細資訊,請 參閱 Peoplepicker-searchadforests:Stsadm 屬性。
設定加密金鑰以搭配單向信任使用
如果安裝 SharePoint Server 的樹系或網域具有與另一個樹系或網域的單向信任,您必須先設定允許向樹系或網域進行驗證的帳號憑證,才能使用 Stsadm peoplepicker-searchadforests 屬性。
注意事項
加密金鑰必須在安裝 SharePoint Server 的伺服器陣列中的每個前端 Web 服務器上設定。
若要設定加密金鑰,請輸入下列命令:
stsadm.exe -o setapppassword -password <key>
使用單向信任時啟用跨樹系或跨網域查詢
如果安裝 SharePoint Server 的樹系或網域具有與另一個樹系或網域的單向信任,除了要查詢的樹系或網功能變數名稱稱之外,您還必須指定要用來查詢樹系或網域的認證。 人員選擇器只會查詢您在peoplepicker-searchadforests屬性設定中指定的樹系或網域。
若要指定要查詢的樹系或網域以及認證,請輸入下列命令:
stsadm.exe -o setproperty -pn peoplepicker-searchadforests -pv <Valid list of forests or domains, Login name, Password> -url <Web application URL>
注意事項
使用 peoplepicker-searchadforests 屬性時,您不需要包含指派給帳戶的加密金鑰密碼。 不過,如果您尚未設定帳戶的加密金鑰,將會顯示加密錯誤訊息。
下列範例會設定人員選擇器搭配名為 Contoso.com 的樹系和名為 Fabrikam.com 的網域使用,並包含每個的認證:
sTSADM.exe -o setproperty -pn peoplepicker-searchadforests -pv "forest:Contoso.com,Contoso\User1,Password1; domain:Fabrikam.com,Fabrikam\User2,Password2" -url https://ServerName
如需詳細資訊,請 參閱 Peoplepicker-searchadforests:Stsadm 屬性。
將人員選擇器限制為 Active Directory 中的特定群組
如果 Web 應用程式使用Windows 驗證,且未設定網站使用者目錄路徑,人員選擇器控制項會搜尋整個 Active Directory 來解析使用者名稱或尋找使用者,而不是只搜尋特定組織單位內的使用者 (OU) 。 Stsadm setsiteuseraccountdirectorypath 作業可讓使用者的目錄路徑設定為相同網域中的特定 OU。 將目錄路徑設定為網站集合之後,人員選擇器控制項只會在該特定 OU 下搜尋。
若要將人員選擇器限制為 Active Directory 中的特定 OU,請輸入下列命令:
stsadm -o setsiteuseraccountdirectorypath -path <Valid OU name> –url <Web application URL>
下列範例會將人員選擇器設定為只傳回 OU 中名為 「Sales」 的使用者和群組:
stsadm -o setsiteuseraccountdirectorypath -path "OU=Sales,DC=ContosoCorp,DC=local" -url https://ServerName
注意事項
網站集合一次只能設定單一網站使用者目錄路徑。 因此,這個屬性一次只會指定一個 OU,而且每個網站集合只能執行一次 Stsadm setsiteuseraccountdirectorypath 作業。
如需詳細資訊,請參閱 Setsiteuseraccountdirectorypath:Stsadm operation。
定義系統管理員帳戶的位置
系統管理使用者帳戶通常位於與一般網站使用者不同的 OU 中。 如果您已使用 Stsadm setsiteuseraccountdirectorypath作業來強制人員選擇器只傳回特定 OU 所產生的查詢,您也必須設定 Stsadm peoplepicker-serviceaccountdirectorypaths屬性,讓系統管理員可以管理網站集合。
注意事項
在 peoplepicker-serviceaccountdirectorypaths 屬性運作之前,必須先將 Setsiteuseraccountdirectorypath 作業設定為包含值。
若要定義系統管理員帳戶的位置,請輸入下列命令:
stsadm -o setproperty -pn peoplepicker-serviceaccountdirectorypaths -pv <A list of OU names> -url <Web application URL>
下列範例會設定人員選擇器,以允許 OU 「FarmAdmin」 中的使用者:
stsadm -o setproperty -pn peoplepicker-serviceaccountdirectorypaths -pv "OU=FarmAdmin,DC=Contoso,DC=local" -url https://ServerName
如需詳細資訊,請參閱 Peoplepicker-serviceaccountdirectorypaths:Stsadm 屬性) 。
強制人員選擇器只從網站集合中的使用者挑選
人員選擇器控制項是由文字方塊和兩個按鈕所組成,例如[檢查名稱] 按鈕和 [流覽] 按鈕。
- [ 檢查名稱] 按鈕可用來解析使用者名稱、組名或電子郵件地址,完全如同在文字方塊中輸入一樣。
- [流覽]按鈕會開啟 [選取人員和群組] 對話方塊,可用來提交完整或部分字串的查詢。
兩者的主要差異在於[檢查名稱] 按鈕只會解析文字方塊中的確切內容,而[選取人員和群組] 對話方塊則會搜尋查詢字串。 您可以使用PeoplePicker-Peopleeditoronlyresolvewithinsitecollection屬性或PeoplePicker-Onlysearchwithinsitecollection屬性,強制人員選擇器只傳回具有網站集合許可權的使用者。 不過,您用來設定此限制的屬性將取決於您要設定文字方塊的限制, (人員 編輯器) 和核取名稱] 按鈕,或 [選取人員和群組] 對話方塊。
若要強制人員選擇器只在按一下 [檢查名稱] 按鈕時傳回網站集合中具有許可權的使用者,請輸入下列命令:
stsadm -o setproperty –pn peoplepicker-Peopleeditoronlyresolvewithinsitecollection –pv yes –url <Web application URL>
若要強制人員選擇器在使用 [選取人員和群組] 對話方塊時,只傳回具有網站集合許可權的使用者,請輸入下列命令:
stsadm -o setproperty –pn peoplepicker-onlysearchwithinsitecollection –pv yes –url <Web application URL>
如需詳細資訊,請參閱 Peoplepicker-onlysearchwithinsitecollection:Stsadm 屬性 和 Peoplepicker-peopleeditoronlyresolvewithinsitecollection:Stsadm 屬性。
使用 LDAP 查詢篩選 Active Directory 帳戶
您可以使用輕量型目錄存取通訊協定 (LDAP) 查詢來建立顯示查詢結果的自訂篩選器。 如需 LDAP 查詢的詳細資訊,請參閱 LDAP 查詢基本概念。
若要使用自訂 LDAP 查詢,請輸入下列命令:
Stsadm –o setproperty –pn peoplepicker-searchadcustomfilter -pv <LDAP query filter> -url <Web application URL>
下列範例會篩選掉沒有電子郵件地址或已停用的使用者帳戶。 因為安全性群組不一定會有與其相關聯的電子郵件地址,所以 會使用 OR 語句來確保安全性群組仍包含在查詢結果中:
stsadm -o setproperty -pn peoplepicker-searchadcustomfilter -pv "(|(&(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))(objectcategory=group))" -url https://ServerName
下列範例只會傳回作用中的使用者,而不是群組:
stsadm -o setproperty -pn peoplepicker-searchadcustomfilter -pv "(&(objectCategory=person)(objectClass=user)(!userAccountControl:1.2.840.113556.1.4.803:=2))" -url https://ServerName
如需此查詢中所使用之使用者帳戶控制字元串的說明,請 參閱搜尋篩選語法。
下列範例會傳回標題為 「Manager」 的 Active Directory 使用者清單:
stsadm -o setproperty -pn peoplepicker-searchadcustomfilter -pv "((Title=Manager))" -url https://ServerName
重要事項
請記住,每次針對特定屬性執行 setproperty 命令時,該屬性的目前值都會被您指定的新值覆寫。 如果您需要根據多個準則來篩選查詢結果,則必須建置複合 LDAP 查詢,其中包含您想要篩選的所有值。
如需詳細資訊,請 參閱 Peoplepicker-searchadcustomfilter:Stsadm 屬性。
只傳回非 Active Directory 使用者帳戶
如果您的 Web 應用程式使用表單型驗證,您可以防止人員選擇器在查詢結果中傳回 Active Directory 帳戶。
若只要傳回非 Active Directory 使用者帳戶,請輸入下列命令:
stsadm -o setproperty -pn peoplepicker-nowindowsaccountsfornonwindowsauthenticationmode -pv yes -url <Web application URL>
如需詳細資訊,請 參閱 Peoplepicker-nowindowsaccountsfornonwindowsauthenticationmode:Stsadm 屬性。