SharePoint Personen-Auswahl beendet das Auflösen von Benutzern aus anderen Domänen mit unidirektionalen Vertrauensstellungen
Ursprüngliche KB-Nummer: 2384424
Symptome
Auf einer SharePoint-Website werden Benutzer aus anderen Domänen nicht von Personen-Auswahl aufgelöst. Darüber hinaus erhalten Sie die Fehlermeldung "Keine Übereinstimmung gefunden".
Mit der Installation von Service Pack 2 (SP2) löste die Personen Picker plötzlich Benutzer aus anderen Domänen nicht auf, selbst wenn die unidirektionale Vertrauensstellung aktiviert war.
Ursache
Die SharePoint-Farm wurde kürzlich auf SP2 aktualisiert. Dadurch wird die peoplepicker
Funktionalität so geändert, dass die peoplepicker-searchadforests
Eigenschaft berücksichtigt wird.
SP2 erzwingt die Sicherheitsfeatures in Bezug auf Personen Picker und die peoplepicker-searchadforests
-Eigenschaft.
Lösung
Sie müssen die peoplepicker-searchadforests
-Eigenschaft für jede unidirektionale vertrauenswürdige Domäne aus SharePoint-Perspektive festlegen. Der folgende Befehl wurde bereitgestellt, damit die Personenauswahl Benutzer in allen Domänen sucht, die eine Vertrauensstellung mit der lokalen SharePoint-Domäne haben.
stsadm -o setproperty -propertyname peoplepicker-searchadforests
Details zum Auswählen von Personen und Gruppen aus mehreren Gesamtstrukturen sind in der Eigenschaft Peoplepicker-searchadforests: Stsadm (Office SharePoint Server) verfügbar.
Verwenden Sie dieses Verfahren, um eine Auswahl von Benutzern und Gruppen aus mehreren Gesamtstrukturen oder Domänen zu ermöglichen, die eine unidirektionale Vertrauensstellung mit der Farm besitzen.
Aktivieren der Auswahl von Benutzern und Gruppen aus mehreren Gesamtstrukturen
Wenn Sie aus einer unidirektionalen vertrauenswürdigen Gesamtstruktur oder einer unidirektionalen vertrauenswürdigen Domäne suchen möchten, müssen Sie den setapppassword
Vorgang ausführen.
Geben Sie auf jedem Front-End-Webserver in einer Farm an einer Eingabeaufforderung den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:
STSADM.exe -o setapppassword -password key
Die Syntax für den Vorgang setproperty lautet wie folgt:
stsadm -o setproperty
-propertyname peoplepicker-searchadforests
-propertyvalue <valid list of forests or domains>
[-url] <URL>
Beispiel
SharePoint befindet sich in der Fabrikam-Domäne . Benutzer aus der Contoso-Domäne müssen über Personen-Auswahl aufgelöst werden. Es gibt eine unidirektionale Vertrauensstellung zwischen der Domäne fabrikam (Ressourcendomäne) und Contoso (Benutzerdomäne), bei der fabrikamContoso vertraut, d. h. Contoso-Benutzer können auf fabrikam-Ressourcen wie SharePoint zugreifen, aber nicht umgekehrt.
Wir müssen ausführen
stsadm -o setproperty -url http://<server:port> -pn peoplepicker-searchadforests -pv "forest:contoso.corp.com, contoso\<account>, <Password>;domain:bar.contoso.corp.com, contoso\<account>, <Password>"
Hier beziehen sich LoginName <> und <Password> auf ein Konto mit Leseberechtigungen für die Benutzerdomäne. In der Regel handelt es sich um ein Benutzerkonto aus der vertrauenswürdigen Domäne (Benutzerdomäne), z. B. contoso\account.
Wenn mehrere Domänen vorhanden sind, von denen Benutzer aufgelöst werden müssen, müssen sie in einem einzigen stsadm
Befehl eingegeben werden und nicht getrennt.
Wenn Sie beispielsweise über zwei Domänen contoso und adatum verfügen, aus denen Benutzer aufgelöst werden müssen.
Richtiger Weg – einzelner stsadm-Befehl
stsadm -o setproperty -url http://<server:port> -pn peoplepicker-searchadforests -pv "forest:contoso.corp.com, contoso\<account>, <Password>;domain:bar.contoso.corp.com, contoso\<account>, <Password>;forest:adatum.corp.com, adatum\<account>, <Password>;domain:bar.adatum.corp.com, adatum\<account>, <Password>"
Falscher Weg: mehrere stsadm-Befehle
stsadm -o setproperty -url http://<server:port> -pn peoplepicker-searchadforests -pv "forest:contoso.corp.com, contoso\<account>, <Password>;domain:bar.contoso.corp.com, contoso\<account>, <Password>"
stsadm -o setproperty -url http://<server:port> -pn peoplepicker-searchadforests -pv "forest:adatum.corp.com, adatum\<account>, <Password>;domain:bar.adatum.corp.com, adatum\<account>, <Password>"
Der zweite stsadm
Befehl, der die Eigenschaft für die Domäne adatum festlegt, würde die Eigenschaft für contoso domain deaktivieren. Daher werden Benutzer aus der Contoso-Domäne nicht mehr aus der Personen-Auswahl aufgelöst.
Weitere Informationen
Personen Funktion "Namen der Auswahlprüfung" berücksichtigt die peoplepicker-searchadforests
Eigenschaft nach SP2. Dies war vor SP2 nicht der Fall.
Nach SP2 können Sie keine Benutzer in einer externen Domäne suchen, die sich in einer unidirektionalen Vertrauensstellung mit der lokalen SharePoint-Domäne befindet.
Vor SP2 hat die funktion Personen Picker Check Names die peoplepicker-searchadforests
-Eigenschaft nicht berücksichtigt. Benutzer können aus anderen Domänen aufgelöst werden, auch wenn es nur eine unidirektionale Vertrauensstellung gibt.
Die Funktion "Namen überprüfen " hat LSAT und LDAP verwendet, um eine Übereinstimmung vor build 12.0000.6520.5000 zu suchen und anzuzeigen.
Die Funktion "Namen überprüfen " könnte die Methoden "Local Security Authority Translation" (LAST) verwenden, um Namen aus Windows NT 4.0-Domänen und anderen Active Directory-Domänen aufzulösen, die mit der lokalen SharePoint-Domäne verbunden sind.
Feedback
https://aka.ms/ContentUserFeedback.
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unterFeedback senden und anzeigen für