SharePoint-Personenauswahl beendet das Auflösen von Benutzern aus anderen Domänen mit unidirektionaler Vertrauensstellung

Ursprüngliche KB-Nummer:   2384424

Problembeschreibung

Auf einer SharePoint-Website werden Benutzer aus anderen Domänen nicht von der Personenauswahl aufgelöst. Außerdem wird die Fehlermeldung "keine Übereinstimmung gefunden" angezeigt.

Bei der Installation von Service Pack 2 (SP2) würde die Personenauswahl plötzlich Benutzer aus anderen Domänen nicht auflösen, selbst wenn eine unidirektionale Vertrauensstellung aktiviert wurde.

Ursache

Die SharePoint-Farm wurde kürzlich auf SP2 aktualisiert, und dadurch peoplepicker wird die Funktionalität geändert, um die Eigenschaft zu respektieren peoplepicker-searchadforests .

SP2 erzwingt die Sicherheitsfeatures in Bezug auf die Personenauswahl und die peoplepicker-searchadforests Eigenschaft.

Lösung

Sie müssen die peoplepicker-searchadforests Eigenschaft für jede unidirektionale vertrauenswürdige Domäne aus einer SharePoint-Perspektive festlegen. Der folgende Befehl wurde zugestellt, damit die Personenauswahl Benutzer in allen Domänen, die sich in der lokalen SharePoint-Domäne befinden, in einer Vertrauensstellung suchen.

stsadm -o setproperty -propertyname peoplepicker-searchadforests

Details zum Auswählen von Personen und Gruppen aus mehreren Gesamtstrukturen stehen in der Peoplepicker-searchadforests: Stsadm-Eigenschaft (Office SharePoint Server)zur Verfügung.

Verwenden Sie dieses Verfahren, um eine Auswahl von Benutzern und Gruppen aus mehreren Gesamtstrukturen oder Domänen zu ermöglichen, die eine unidirektionale Vertrauensstellung mit der Farm besitzen.

Aktivieren der Auswahl von Benutzern und Gruppen aus mehreren Gesamtstrukturen

Wenn Sie in einer unidirektionalen vertrauenswürdigen Gesamtstruktur oder einer unidirektionalen vertrauenswürdigen Domäne suchen möchten, müssen Sie den setapppassword Vorgang ausführen.

Geben Sie auf allen Front-End-Webservern in einer Farm an einer Eingabeaufforderung den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:

STSADM.exe -o setapppassword -password key

Die Syntax für den Vorgang setproperty lautet wie folgt:

stsadm -o setproperty

-propertyname peoplepicker-searchadforests

-propertyvalue <valid list of forests or domains>

[-url] <URL>

Beispiel

SharePoint befindet sich in der Domäne Fabrikam . Benutzer aus contoso -Domäne müssen von der Personenauswahl aufgelöst werden. Es gibt eine unidirektionale Vertrauensstellung zwischen Domäne Fabrikam (Ressourcendomäne) und contoso (Benutzerdomäne), fabrikam bei dem Fabrikam contosovertraut, das heißt, contoso -Benutzer können auf Fabrikam -Ressourcen wie SharePoint zugreifen, jedoch nicht umgekehrt.

Wir müssen ausführen

stsadm -o setproperty -url http://<server:port> -pn peoplepicker-searchadforests -pv "forest:contoso.corp.com, contoso\<account>, <Password>;domain:bar.contoso.corp.com, contoso\<account>, <Password>"

Hier <LoginName> <Password> finden Sie die und lesen Sie ein Konto mit Leseberechtigungen für die Benutzerdomäne. Normalerweise handelt es sich um ein Benutzerkonto aus der vertrauenswürdigen (Benutzer-) Domäne, wie contoso\account.

Wenn mehrere Domänen vorhanden sind, aus denen Benutzer aufgelöst werden müssen, müssen Sie in einem einzigen stsadm Befehl eingegeben und nicht getrennt werden.

Wenn Sie beispielsweise über zwei Domänen contoso und adatum verfügen, aus denen Benutzer aufgelöst werden müssen.

Richtiger Weg – einzelner Stsadm-Befehl

stsadm -o setproperty -url http://<server:port> -pn peoplepicker-searchadforests -pv "forest:contoso.corp.com, contoso\<account>, <Password>;domain:bar.contoso.corp.com, contoso\<account>, <Password>;forest:adatum.corp.com, adatum\<account>, <Password>;domain:bar.adatum.corp.com, adatum\<account>, <Password>"

Falsche Methode – mehrere Stsadm-Befehle

stsadm -o setproperty -url http://<server:port> -pn peoplepicker-searchadforests -pv "forest:contoso.corp.com, contoso\<account>, <Password>;domain:bar.contoso.corp.com, contoso\<account>, <Password>"
stsadm -o setproperty -url http://<server:port> -pn peoplepicker-searchadforests -pv "forest:adatum.corp.com, adatum\<account>, <Password>;domain:bar.adatum.corp.com, adatum\<account>, <Password>"

Der zweite stsadm Befehl, mit dem die Eigenschaft für adatum -Domäne festgelegt wird, würde die Eigenschaft für die contoso -Domäne umschalten. Daher werden Benutzer aus der contoso -Domäne nicht mehr aus der Personenauswahl aufgelöst.

Weitere Informationen

Personenauswahl- Überprüfungs Namen -Funktion respektiert die peoplepicker-searchadforests Eigenschaft nach SP2. Dies war vor SP2 nicht der Fall.

Nach SP2 können Sie keine Benutzer in einer externen Domäne suchen, die sich in einer unidirektionalen Vertrauensstellung mit der lokalen SharePoint-Domäne befindet.

Vor SP2 hat die Funktion zur Überprüfung der Personenauswahl die Namen der Eigenschaft nicht respektiert peoplepicker-searchadforests . Benutzer konnten aus anderen Domänen aufgelöst werden, auch wenn es nur eine unidirektionale Vertrauensstellung gab.

Die Funktion Namen überprüfen verwendet lsat und LDAP zum Suchen und Anzeigen einer Übereinstimmung vor dem Build 12.0000.6520.5000.

Die Funktion " Namen überprüfen " kann die Methoden "Local Security Authority Translation (letzte)" verwenden, um Namen aus Windows NT 4,0-Domänen und anderen Active Directory Domänen aufzulösen, die mit der lokalen SharePoint-Domäne verbunden sind.