Configuración del Selector de personas en SharePoint Server

SE APLICA A:2010 2013 2019 Subscription Edition

Personas Selector se puede configurar para una granja en el nivel de zona mediante la operación setproperty de Stsadm. Al configurar la configuración de este control, puede filtrar y restringir los resultados que se muestran cuando un usuario busca un usuario, un grupo o una notificación. Dicha configuración se aplicará a todos los sitios de la colección de sitios.

La información de este artículo es válida solo para las aplicaciones web que usan autenticación de Windows en modo clásico o basada en notificaciones.

El control selector de Personas se usa para buscar y seleccionar usuarios, grupos y notificaciones cuando un propietario de sitio, lista o biblioteca asigna permisos en Microsoft SharePoint Server. Para obtener más información sobre las propiedades del selector de Personas, vea Peoplepicker: Propiedades de Stsadm.

Nota:

No hay comandos de Windows PowerShell para configurar Personas Selector en SharePoint Server 2010, SharePoint Server 2013, SharePoint Server 2016 o SharePoint Server 2019. Sin embargo, puede usar los comandos de PowerShell para configurar Personas Selector en SharePoint Subscription Edition. Para obtener más información, vea Configurar Personas Selector en SharePoint Subscription Edition.

Este artículo contiene información sobre cómo configurar Personas selector para escenarios específicos. Para obtener más información sobre el control de selector de Personas y cómo funciona, su relación con los proveedores de autenticación y notificaciones y cómo planear Personas selector, consulte Personas Información general sobre el selector y los proveedores de notificaciones.

Requisitos previos para configurar Personas selector

Asegúrese de que se cumplen los siguientes requisitos antes de configurar Personas selector:

• Compruebe que la cuenta que usa para ejecutar Stsadm es miembro del grupo administradores local en el servidor en el que está instalado SharePoint Server.

• Abra la ventana del símbolo del sistema como administrador para realizar los procedimientos que se describen en este artículo.

• En el símbolo del sistema del controlador donde está instalado SharePoint Server, cambie al directorio siguiente: %CommonProgramFiles%\Microsoft Shared\Web Server Extensions\x\Bin.

  Nota:

  Reemplace el valor de asignación de números, que es "x" en el directorio en función de la versión de SharePoint que haya instalado. A continuación se muestran las versiones de SharePoint y sus respectivos valores de asignación de números:

  • SharePoint 2010: 14
  • SharePoint 2013: 15
  • SharePoint 2016 y SharePoint 2019: 16

configuración del selector de Personas

Una vez cumplidos los requisitos previos, puede realizar los procedimientos siguientes:

• Comprobación del valor de configuración de cualquier propiedad
• Borrar el valor de una propiedad del selector de personas
• Configuración de una clave de cifrado para usarla con una confianza unidireccional
• Habilitación de consultas entre bosques o dominios con confianza unidireccional
• Restricción del selector de personas a un determinado grupo en Active Directory
• Definición de la ubicación de las cuentas de administrador
• Forzar al selector de personas a elegir solo entre los usuarios de la colección de sitios
• Filtrado de las cuentas de Active Directory con consultas LDAP
• Devolución de cuentas de usuario que no sean de Active Directory únicamente

Comprobación del valor de configuración de cualquier propiedad

Para comprobar la configuración de cualquier propiedad del selector de personas, escriba el comando siguiente:

stsadm.exe -o getproperty -pn <Property Name> -url <Web application URL>

Para obtener más información, vea Peoplepicker: propiedades de Stsadm.

Eliminación del valor de una propiedad en el selector de personas

Puede quitar la configuración de una propiedad Picker de Personas especificando el nombre de propiedad que desea borrar y usando comillas vacías para el valor de propiedad.

Para quitar la configuración de una propiedad del selector de personas, escriba el siguiente comando:

stsadm.exe -o setproperty -pn <Property Name> -pv "" -url <Web application URL>

Para obtener más información, vea Peoplepicker-searchadforests: propiedad de Stsadm.

Configuración de una clave de cifrado para usarla con confianza unidireccional

Si el bosque o dominio en el que está instalado SharePoint Server tiene una confianza unidireccional con otro bosque o dominio, primero debe establecer las credenciales de la cuenta que se permite autenticar con el bosque o dominio que se va a consultar para poder usar la propiedad peoplepicker-searchadforests de Stsadm.

Nota:

La clave de cifrado debe establecerse en todos los servidores front-end web de la granja de servidores en la que está instalado SharePoint Server.

Para configurar una clave de cifrado, escriba el siguiente comando:

stsadm.exe -o setapppassword -password <key>

Habilitación de consultas entre bosques o dominios con confianza unidireccional

Si el bosque o dominio en el que está instalado SharePoint Server tiene una confianza unidireccional con otro bosque o dominio, debe especificar las credenciales que se usarán para consultar el bosque o dominio, además de los nombres de los bosques o dominios que se van a consultar. El selector de personas solo consultará los bosques o dominios que se especifiquen en la configuración de la propiedad peoplepicker-searchadforests.

Para especificar los bosques o dominios que se van a consultar junto con las credenciales, escriba el comando siguiente:

stsadm.exe -o setproperty -pn peoplepicker-searchadforests -pv <Valid list of forests or domains, Login name, Password> -url <Web application URL>

Nota:

No es necesario incluir la contraseña de clave de cifrado que asignó a la cuenta al usar la propiedad peoplepicker-searchadforests . Sin embargo, si aún no se ha establecido la clave de cifrado para la cuenta, se mostrará un mensaje de error.

En el ejemplo siguiente se configura el selector de personas para su uso con un bosque denominado Contoso.com y el dominio Fabrikam.com, e incluye las credenciales de cada uno de ellos:

sTSADM.exe -o setproperty -pn peoplepicker-searchadforests -pv "forest:Contoso.com,Contoso\User1,Password1; domain:Fabrikam.com,Fabrikam\User2,Password2" -url https://ServerName

Para obtener más información, vea Peoplepicker-searchadforests: propiedad de Stsadm.

Restricción del selector de personas a un grupo específico de Active Directory

Si una aplicación web usa autenticación de Windows y la ruta de acceso del directorio de usuario del sitio no está establecida, el control selector de Personas busca en toda Active Directory para resolver los nombres de los usuarios o buscar usuarios, en lugar de buscar solo usuarios en una unidad organizativa (OU) determinada. La operación setsiteuseraccountdirectorypath de Stsadm permite que se defina la ruta de acceso al directorio de usuarios en una OU específica en el mismo dominio. Una vez que se haya definido la ruta de acceso al directorio en una colección de sitios, el control selector de personas solo buscará en esa OU concreta.

Para restringir el selector de personas a una OU concreta en Active Directory, escriba el siguiente comando:

stsadm -o setsiteuseraccountdirectorypath -path <Valid OU name> –url <Web application URL>

En el ejemplo siguiente se configura el selector de personas para devolver solo usuarios y grupos de la OU denominada "Ventas":

stsadm -o setsiteuseraccountdirectorypath -path "OU=Sales,DC=ContosoCorp,DC=local" -url https://ServerName

Nota:

Solo se puede establecer una ruta de acceso de directorio de usuario de sitio única a la vez para una colección de sitios. Por lo tanto, esta propiedad especifica solo una unidad organizativa a la vez y debe ejecutar la operación setsiteuseraccountdirectorypath de Stsadm solo una vez por colección de sitios.

Para obtener más información, vea Setsiteuseraccountdirectorypath: operación de Stsadm.

Definición de la ubicación de las cuentas de administrador

Las cuentas de usuario administrativas suelen ubicarse en una OU diferente a la de los usuarios del sitio normales. Si ha usado la operación setsiteuseraccountdirectorypath de Stsadm para forzar a Personas Selector a devolver solo la consulta resultante de una unidad organizativa específica, también debe establecer la propiedad Stsadm peoplepicker-serviceaccountdirectorypaths para que el administrador pueda administrar la colección de sitios.

Nota:

Antes de que funcione la propiedad peoplepicker-serviceaccountdirectorypaths , la operación Setsiteuseraccountdirectorypath debe establecerse para que contenga un valor.

Para definir la ubicación de las cuentas de administrador, escriba el siguiente comando:

stsadm -o setproperty -pn peoplepicker-serviceaccountdirectorypaths -pv <A list of OU names> -url <Web application URL>

En el siguiente ejemplo se configura el selector de personas para permitir usuarios que están en la unidad organizativa "FarmAdmin":

stsadm -o setproperty -pn peoplepicker-serviceaccountdirectorypaths -pv "OU=FarmAdmin,DC=Contoso,DC=local" -url https://ServerName

Para obtener más información, vea Peoplepicker-serviceaccountdirectorypaths: Stsadm property).

Forzado del selector de personas para que seleccione solo entre usuarios de la colección de sitios

El control selector de Personas consta de un cuadro de texto y dos botones, como el botón Comprobar nombres y el botón Examinar.

• El botón Comprobar nombres se usa para resolver un nombre de usuario, nombre de grupo o dirección de correo electrónico tal y como se escribió en el cuadro de texto.
• El botón Examinar abre el cuadro de diálogo Seleccionar personas y grupos, que se puede usar para enviar una consulta de una cadena completa o parcial.

La principal diferencia entre los dos es que el botón Comprobar nombres solo resuelve exactamente lo que hay en el cuadro de texto, mientras que el cuadro de diálogo Seleccionar Personas y Grupos busca la cadena de consulta. Puede forzar al selector de personas a devolver únicamente usuarios que tengan permisos en la colección de sitios usando la propiedad PeoplePicker-Peopleeditoronlyresolvewithinsitecollection o la propiedad PeoplePicker-Onlysearchwithinsitecollection. Sin embargo, la propiedad que se usa para configurar esta restricción dependerá de si se va a establecer la restricción para el cuadro de texto (editor de personas) y el botón Comprobar nombres, o bien para el cuadro de diálogo Seleccionar personas y grupos.

Si desea forzar el selector de personas para que solo devuelva usuarios que tienen permisos en la colección de sitios cuando se hace clic en el botón Comprobar nombres, escriba el comando siguiente:

stsadm -o setproperty –pn peoplepicker-Peopleeditoronlyresolvewithinsitecollection –pv yes –url <Web application URL>

Si desea forzar el selector de personas para que solo devuelva usuarios que tienen permisos en la colección de sitios cuando se usa el cuadro de diálogo Seleccionar personas y grupos, escriba el comando siguiente:

stsadm -o setproperty –pn peoplepicker-onlysearchwithinsitecollection –pv yes –url <Web application URL>

Para obtener más información, vea Peoplepicker-onlysearchwithinsitecollection: Stsadm property and Peoplepicker-peopleeditoronlyresolvewithinsitecollection: Stsadm property.

Filtrado de cuentas de Active Directory mediante consultas LDAP

Puede usar una consulta del Protocolo ligero de acceso a directorios (LDAP) para crear un filtro personalizado para visualizar resultados de consultas. Para obtener más información sobre las consultas LDAP, vea Conceptos básicos de consultas LDAP.

Para usar una consulta LDAP personalizada, escriba el siguiente comando:

Stsadm –o setproperty –pn peoplepicker-searchadcustomfilter -pv <LDAP query filter> -url <Web application URL>

En el ejemplo siguiente se filtran las cuentas de usuario que no tienen direcciones de correo electrónico o que están deshabilitadas. Dado que los grupos de seguridad no siempre tienen direcciones de correo electrónico asociadas, se usa una instrucción OR para asegurarse de que los grupos de seguridad siguen incluidos en los resultados de la consulta:

stsadm -o setproperty -pn peoplepicker-searchadcustomfilter -pv "(|(&(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))(objectcategory=group))" -url https://ServerName

En el ejemplo siguiente solo se devuelven usuarios activos y no los grupos:

stsadm -o setproperty -pn peoplepicker-searchadcustomfilter -pv "(&(objectCategory=person)(objectClass=user)(!userAccountControl:1.2.840.113556.1.4.803:=2))" -url https://ServerName

Para obtener una explicación de la cadena de control de cuenta de usuario usada en esta consulta, vea Sintaxis de filtro de búsqueda.

En el ejemplo siguiente se devuelve una lista de usuarios de Active Directory con el título "Manager":

stsadm -o setproperty -pn peoplepicker-searchadcustomfilter -pv "((Title=Manager))" -url https://ServerName

Importante

Recuerde que cada vez que ejecute el setproperty comando para una propiedad específica, los valores actuales de esa propiedad se sobrescribirán con los nuevos valores que especifique. Si necesita filtrar resultados de la consulta según varios criterios, deberá crear una consulta LDAP compuesta que incluya todos los valores por los que desea filtrar.

Para obtener más información, vea Peoplepicker-searchadcustomfilter: propiedad de Stsadm.

Devolución de cuentas de usuario que no sean de Active Directory únicamente

Si la aplicación web usa la autenticación basada en formularios, se puede impedir que el selector de personas devuelva cuentas de Active Directory en los resultados de la consulta.

Para devolver solo cuentas de usuario que no sean de Active Directory, escriba el comando siguiente:

stsadm -o setproperty -pn peoplepicker-nowindowsaccountsfornonwindowsauthenticationmode -pv yes -url <Web application URL>

Para obtener más información, vea Peoplepicker-nowindowsaccountsfornonwindowsauthenticationmode: propiedad de Stsadm.

Consulta también

• Configuración de Personas Picker en SharePoint Subscription Edition
• Selector de usuarios mejorada para la autenticación moderna