設定 SharePoint Server 中的人員選擇器
適用於:
訂閱版本
您可以使用 Stsadm setproperty 作業,在區域層級為伺服器數位設定人員選擇器。 藉由設定此控制件的設定,您可以篩選並限制使用者搜尋使用者、群組或宣告時所顯示的結果。 這些設定會套用至網站集合內的每個網站。
本文中的資訊僅適用於在傳統模式或宣告模式中使用 Windows 驗證的 Web 應用程式。
當網站、清單或文檔庫擁有者指派 sharePoint Server 中的許可權時,[人員選擇器] 控件可用來尋找和選取使用者、群組和宣告Microsoft。 如需人員選擇器屬性的詳細資訊,請參閱 Peoplepicker:Stsadm 屬性。
注意事項
沒有 Windows PowerShell 命令可在 SharePoint Server 2010、SharePoint Server 2013、SharePoint Server 2016 或 SharePoint Server 2019 中設定人員選擇器。 不過,您可以使用 PowerShell 命令在 SharePoint 訂閱版本中設定人員選擇器。 如需詳細資訊, 請參閱在 SharePoint 訂閱版本中設定人員選擇器。
本文包含如何針對特定案例設定人員選擇器的資訊。 如需人員選擇器控件及其運作方式、其與驗證和宣告提供者的關係,以及如何規劃人員選擇器的詳細資訊,請參閱 人員選擇器和宣告提供者概觀。
設定人員選擇器的必要條件
設定人員選擇器之前,請確定符合下列需求:
確認您用來
Stsadm執行的帳戶是安裝 SharePoint Server 之伺服器上本機 Administrators 群組的成員。以系統管理員身分開啟命令提示字元視窗,以執行本文中的程式。
在安裝 SharePoint Server 的驅動程式命令提示字元中,變更為下列目錄:
%CommonProgramFiles%\Microsoft Shared\Web Server Extensions\x\Bin。注意事項
根據您已安裝的 SharePoint 版本,取代目錄中 「x」 的數字對應值。 以下是 SharePoint 版本及其各自的數字對應值:
- SharePoint 2010: 14
- SharePoint 2013: 15
- SharePoint 2016 和 SharePoint 2019: 16
人員選擇器設定設定
符合必要條件之後,您可以執行下列程式:
- 檢查任何屬性的設定值
- 從人員選擇器清除屬性值
- 設定加密金鑰以搭配單向信任使用
- 使用單向信任啟用跨樹系或跨網域查詢
- 將人員選擇器限制為 Active Directory 中的特定群組
- 定義系統管理員帳戶的位置
- 強制人員選擇器只從網站集合中的用戶挑選
- 使用LDAP查詢篩選Active Directory 帳戶
- 只傳回非 Active Directory 用戶帳戶
檢查任何屬性的設定值
若要檢查任何 People Picker 屬性的設定,請輸入下列命令:
stsadm.exe -o getproperty -pn <Property Name> -url <Web application URL>
如需詳細資訊,請 參閱 Peoplepicker:Stsadm 屬性。
從人員選擇器清除屬性值
您可以藉由指定要清除的屬性名稱,並針對屬性值使用空白引號,來移除 People Picker 屬性的設定。
若要從人員選擇器移除屬性設定,請輸入下列命令:
stsadm.exe -o setproperty -pn <Property Name> -pv "" -url <Web application URL>
如需詳細資訊,請 參閱 Peoplepicker-searchadforests:Stsadm 屬性。
設定加密金鑰以搭配單向信任使用
如果安裝 SharePoint Server 的樹系或網域具有與另一個樹系或網域的單向信任,您必須先設定允許向樹系或網域進行驗證的帳戶認證,才能使用 Stsadm peoplepicker-searchadforests 屬性。
注意事項
加密金鑰必須在安裝 SharePoint Server 的伺服器陣列中的每個前端 Web 伺服器上設定。
若要設定加密金鑰,請輸入下列命令:
stsadm.exe -o setapppassword -password <key>
使用單向信任時啟用跨樹系或跨網域查詢
如果安裝 SharePoint Server 的樹系或網域具有與另一個樹系或網域的單向信任,除了要查詢的樹系或網域名稱之外,您還必須指定要用來查詢樹系或網域的認證。 人員選擇器只會查詢您在 peoplepicker-searchadforests 屬性設定中指定的樹系或網域。
若要指定要查詢的樹系或網域以及認證,請輸入下列命令:
stsadm.exe -o setproperty -pn peoplepicker-searchadforests -pv <Valid list of forests or domains, Login name, Password> -url <Web application URL>
注意事項
使用 peoplepicker-searchadforests 屬性時,您不需要包含指派給帳戶的加密密鑰密碼。 不過,如果您尚未設定帳戶的加密金鑰,將會顯示加密錯誤訊息。
下列範例會設定人員選擇器搭配名為 Contoso.com 的樹系和名為 Fabrikam.com 的網域使用,並包含每個的認證:
sTSADM.exe -o setproperty -pn peoplepicker-searchadforests -pv "forest:Contoso.com,Contoso\User1,Password1; domain:Fabrikam.com,Fabrikam\User2,Password2" -url https://ServerName
如需詳細資訊,請 參閱 Peoplepicker-searchadforests:Stsadm 屬性。
將人員選擇器限制為 Active Directory 中的特定群組
如果 Web 應用程式使用 Windows 驗證,但未設定網站使用者目錄路徑,則人員選擇器控制件會搜尋整個 Active Directory 來解析使用者名稱或尋找使用者,而不是只搜尋特定組織單位內的使用者 (OU) 。 Stsadm setsiteuseraccountdirectorypath 作業可讓使用者的目錄路徑設定為相同網域中的特定 OU。 將目錄路徑設定為網站集合之後,人員選擇器控件只會在該特定 OU 下搜尋。
若要將人員選擇器限制為 Active Directory 中的特定 OU,請輸入下列命令:
stsadm -o setsiteuseraccountdirectorypath -path <Valid OU name> –url <Web application URL>
下列範例會將人員選擇器設定為只傳回 OU 中名為 “Sales” 的使用者和群組:
stsadm -o setsiteuseraccountdirectorypath -path "OU=Sales,DC=ContosoCorp,DC=local" -url https://ServerName
注意事項
網站集合一次只能設定單一網站用戶目錄路徑。 因此,這個屬性一次只會指定一個 OU,而且每個網站集合只能執行一次 Stsadm setsiteuseraccountdirectorypath 作業。
如需詳細資訊,請參閱 Setsiteuseraccountdirectorypath:Stsadm operation。
定義系統管理員帳戶的位置
系統管理用戶帳戶通常位於與一般網站使用者不同的 OU 中。 如果您已使用 Stsadm setsiteuseraccountdirectorypath 作業來強制人員選擇器只傳回特定 OU 所產生的查詢,您也必須設定 Stsadm peoplepicker-serviceaccountdirectorypaths 屬性,讓系統管理員可以管理網站集合。
注意事項
在 peoplepicker-serviceaccountdirectorypaths 屬性運作之前,必須先將 Setsiteuseraccountdirectorypath 作業設定為包含值。
若要定義系統管理員帳戶的位置,請輸入下列命令:
stsadm -o setproperty -pn peoplepicker-serviceaccountdirectorypaths -pv <A list of OU names> -url <Web application URL>
下列範例會設定人員選擇器,以允許 OU “FarmAdmin” 中的使用者:
stsadm -o setproperty -pn peoplepicker-serviceaccountdirectorypaths -pv "OU=FarmAdmin,DC=Contoso,DC=local" -url https://ServerName
如需詳細資訊,請參閱 Peoplepicker-serviceaccountdirectorypaths:Stsadm 屬性) 。
強制人員選擇器只從網站集合中的用戶挑選
[人員選擇器] 控制件包含文字框和兩個按鈕,例如 [檢查名稱 ] 按鈕和 [ 瀏覽 ] 按鈕。
- [ 檢查名稱] 按鈕可用來解析使用者名稱、組名或電子郵件位址,完全如同在文字框中輸入一樣。
- [ 流覽] 按鈕會開啟 [ 選取人員和群組 ] 對話框,可用來提交完整或部分字串的查詢。
兩者的主要差異在於[ 檢查名稱 ] 按鈕只會解析文本框中的確切內容,而 [ 選取人員和群組 ] 對話框則會搜尋查詢字串。 您可以使用 PeoplePicker-Peopleeditoronlyresolvewithinsitecollection 属性或 PeoplePicker-Onlysearchwithinsitecollection 属性,強制人員選擇器只傳回具有網站集合許可權的使用者。 不過,您用來設定此限制的屬性將取決於您要設定 [人員編輯器] ([人員編輯器]) 和 [ 檢查名稱 ] 按鈕的文字框限制,還是 [ 選取人員和群組 ] 對話框的限制。
若要強制人員選擇器只在按下列指令 [ 檢查名稱 ] 按鈕時傳回網站集合中具有許可權的使用者,請輸入下列命令:
stsadm -o setproperty –pn peoplepicker-Peopleeditoronlyresolvewithinsitecollection –pv yes –url <Web application URL>
若要強制人員選擇器只在使用 [選取人員 和群組 ] 對話框時傳回網站集合中具有許可權的使用者,請輸入下列命令:
stsadm -o setproperty –pn peoplepicker-onlysearchwithinsitecollection –pv yes –url <Web application URL>
如需詳細資訊,請參閱 Peoplepicker-onlysearchwithinsitecollection:Stsadm 屬性 和 Peoplepicker-peopleeditoronlyresolvewithinsitecollection:Stsadm 屬性。
使用LDAP查詢篩選Active Directory 帳戶
您可以使用輕量型目錄存取通訊協定 (LDAP) 查詢來建立顯示查詢結果的自定義篩選器。 如需LDAP查詢的詳細資訊,請參閱 LDAP查詢基本概念。
若要使用自訂LDAP查詢,請輸入下列命令:
Stsadm –o setproperty –pn peoplepicker-searchadcustomfilter -pv <LDAP query filter> -url <Web application URL>
下列範例會篩選掉沒有電子郵件位址或已停用的用戶帳戶。 因為安全組不一定會有與其相關聯的電子郵件位址,所以 會使用 OR 語句來確保安全組仍包含在查詢結果中:
stsadm -o setproperty -pn peoplepicker-searchadcustomfilter -pv "(|(&(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))(objectcategory=group))" -url https://ServerName
下列範例只會傳回作用中的使用者,而不是群組:
stsadm -o setproperty -pn peoplepicker-searchadcustomfilter -pv "(&(objectCategory=person)(objectClass=user)(!userAccountControl:1.2.840.113556.1.4.803:=2))" -url https://ServerName
如需此查詢中所使用之用戶帳戶控制字串的說明,請 參閱搜尋篩選語法。
下列範例會傳回標題為 「Manager」 的 Active Directory 使用者清單:
stsadm -o setproperty -pn peoplepicker-searchadcustomfilter -pv "((Title=Manager))" -url https://ServerName
重要事項
請記住,每次針對特定屬性執行 setproperty 命令時,該屬性的目前值都會被您指定的新值覆寫。 如果您需要根據多個準則來篩選查詢結果,則必須建置複合 LDAP 查詢,其中包含您想要篩選的所有值。
如需詳細資訊,請 參閱 Peoplepicker-searchadcustomfilter:Stsadm 屬性。
只傳回非 Active Directory 用戶帳戶
如果您的 Web 應用程式使用表單型驗證,您可以防止人員選擇器在查詢結果中傳回 Active Directory 帳戶。
若只要傳回非 Active Directory 使用者帳戶,請輸入下列命令:
stsadm -o setproperty -pn peoplepicker-nowindowsaccountsfornonwindowsauthenticationmode -pv yes -url <Web application URL>
如需詳細資訊,請 參閱 Peoplepicker-nowindowsaccountsfornonwindowsauthenticationmode:Stsadm 屬性。