Le sélecteur de personnes SharePoint arrête de résoudre les utilisateurs d’autres domaines avec une approbation unidirectionnelle

Numéro de la base de connaissances initiale :   2384424

Symptômes

Sur un site SharePoint, les utilisateurs d’autres domaines ne sont pas résolus à partir du sélecteur de personnes. En outre, vous recevez le message d’erreur « aucune correspondance trouvée ».

Avec l’installation du Service Pack 2 (SP2), le sélecteur de personnes ne convertit pas les utilisateurs à partir d’autres domaines, même si une approbation à sens unique a été activée.

Cause

La batterie de serveurs SharePoint a été récemment mise à niveau vers SP2 et cela a pour effet de modifier la peoplepicker fonctionnalité de respect de la peoplepicker-searchadforests propriété.

SP2 applique les fonctionnalités de sécurité relatives au sélecteur de personnes et à la peoplepicker-searchadforests propriété.

Résolution

Vous devez définir la peoplepicker-searchadforests propriété pour chaque domaine approuvé à sens unique à partir d’un point de vue SharePoint. La commande suivante a été fournie pour que le sélecteur de personnes recherche des utilisateurs dans tous les domaines qui sont en relation de confiance avec le domaine local SharePoint.

stsadm -o setproperty -propertyname peoplepicker-searchadforests

Les détails permettant de sélectionner des personnes et des groupes à partir de plusieurs forêts sont disponibles dans Peoplepicker-searchadforests : propriété Stsadm (Office SharePoint Server).

Utilisez cette procédure pour permettre la sélection des personnes et des groupes de plusieurs forêts ou domaines qui ont une relation d’approbation à sens unique dans la batterie de serveurs.

Activer la sélection des personnes et des groupes de plusieurs forêts

Si vous souhaitez effectuer une recherche à partir d’une forêt approuvée à sens unique ou d’un domaine approuvé à sens unique, vous devez exécuter l' setapppassword opération.

Sur chaque serveur Web frontal d’une batterie de serveurs, à l’invite de commandes, tapez la commande suivante, puis appuyez sur entrée :

STSADM.exe -o setapppassword -password key

La syntaxe de l’opération setproperty est :

stsadm -o setproperty

-propertyname peoplepicker-searchadforests

-propertyvalue <valid list of forests or domains>

[-url] <URL>

Exemple

SharePoint se trouve dans le domaine Fabrikam . Les utilisateurs du domaine contoso doivent être résolus à partir du sélecteur de personnes. Il existe une approbation à sens unique entre le domaine Fabrikam (domaine de ressource) et contoso (domaine d’utilisateur) où Fabrikam approuve contoso, c’est-à-dire que les utilisateurs de contoso peuvent accéder aux ressources Fabrikam telles que SharePoint, mais pas vice versa.

Nous devons exécuter

stsadm -o setproperty -url http://<server:port> -pn peoplepicker-searchadforests -pv "forest:contoso.corp.com, contoso\<account>, <Password>;domain:bar.contoso.corp.com, contoso\<account>, <Password>"

Ici <LoginName> , et <Password> font référence à un compte disposant d’autorisations de lecture sur le domaine de l’utilisateur. Il s’agit généralement d’un compte d’utilisateur du domaine approuvé (utilisateur), tel que contoso\account.

S’il existe plusieurs domaines à partir desquels les utilisateurs doivent être résolus, vous devez les saisir dans une seule stsadm commande et ne pas les séparer.

Par exemple, si vous avez deux domaines contoso et adatum à partir desquels les utilisateurs doivent être résolus.

Bonne méthode-commande Stsadm unique

stsadm -o setproperty -url http://<server:port> -pn peoplepicker-searchadforests -pv "forest:contoso.corp.com, contoso\<account>, <Password>;domain:bar.contoso.corp.com, contoso\<account>, <Password>;forest:adatum.corp.com, adatum\<account>, <Password>;domain:bar.adatum.corp.com, adatum\<account>, <Password>"

Mauvaise méthode-plusieurs commandes Stsadm

stsadm -o setproperty -url http://<server:port> -pn peoplepicker-searchadforests -pv "forest:contoso.corp.com, contoso\<account>, <Password>;domain:bar.contoso.corp.com, contoso\<account>, <Password>"
stsadm -o setproperty -url http://<server:port> -pn peoplepicker-searchadforests -pv "forest:adatum.corp.com, adatum\<account>, <Password>;domain:bar.adatum.corp.com, adatum\<account>, <Password>"

La deuxième stsadm commande qui définit la propriété du domaine adatum bascule de la propriété pour le domaine contoso . Par conséquent, les utilisateurs du domaine contoso ne seront plus résolus à partir du sélecteur de personnes.

Informations supplémentaires

Fonction vérifier les noms du sélecteur de personnes respecte la peoplepicker-searchadforests propriété après SP2. Ce n’était pas le cas avant le SP2.

Après SP2, vous ne serez pas en mesure de rechercher des utilisateurs dans un domaine externe qui se trouve dans une relation d’approbation à sens unique avec le domaine local SharePoint.

Avant le SP2, la fonction vérifier les noms du sélecteur de personnes ne respecte pas la peoplepicker-searchadforests propriété. Les utilisateurs peuvent être résolus à partir d’autres domaines, même s’il n’existe qu’une approbation à sens unique.

La fonction vérifier les noms a utilisé LSAT et LDAP pour rechercher et afficher une correspondance avant la génération 12.0000.6520.5000.

La fonction vérifier les noms peut utiliser les méthodes de traduction de l’autorité de sécurité locale (Last) pour résoudre les noms des domaines Windows NT 4,0 et d’autres domaines Active Directory connectés au domaine local SharePoint.