Le sélecteur de Personnes SharePoint cesse de résoudre les utilisateurs d’autres domaines avec une approbation unidirectionnelle
Numéro de la base de connaissances d’origine : 2384424
Symptômes
Sur un site SharePoint, les utilisateurs d’autres domaines ne sont pas résolus à partir de Personnes Sélecteur. En outre, vous recevez le message d’erreur « Aucune correspondance trouvée ».
Avec l’installation de Service Pack 2 (SP2), le sélecteur de Personnes ne résoudrait soudainement pas les utilisateurs d’autres domaines, même si l’approbation unidirectionnelle était activée.
Cause
La batterie de serveurs SharePoint a récemment été mise à niveau vers SP2, ce qui modifie la peoplepicker fonctionnalité pour respecter la peoplepicker-searchadforests propriété .
SP2 applique les fonctionnalités de sécurité en ce qui concerne Personnes Sélecteur et la peoplepicker-searchadforests propriété .
Résolution
Vous devez définir la peoplepicker-searchadforests propriété pour chaque domaine approuvé unidirectionnel du point de vue de SharePoint. La commande suivante a été remise pour que le sélecteur de personnes recherche les utilisateurs dans tous les domaines qui sont en relation d’approbation avec le domaine local SharePoint.
stsadm -o setproperty -propertyname peoplepicker-searchadforests
Les détails permettant de sélectionner des personnes et des groupes à partir de plusieurs forêts sont disponibles dans Peoplepicker-searchadforests : propriété Stsadm (Office SharePoint Server).
Utilisez cette procédure pour permettre la sélection des personnes et des groupes de plusieurs forêts ou domaines qui ont une relation d’approbation à sens unique dans la batterie de serveurs.
Activer la sélection des personnes et des groupes de plusieurs forêts
Si vous souhaitez effectuer une recherche à partir d’une forêt approuvée unidirectionnelle ou d’un domaine approuvé unidirectionnel, vous devez exécuter l’opération setapppassword .
Sur chaque serveur Web frontal d’une batterie de serveurs, à l’invite de commandes, tapez la commande suivante, puis appuyez sur Entrée :
STSADM.exe -o setapppassword -password key
La syntaxe de l’opération setproperty est :
stsadm -o setproperty
-propertyname peoplepicker-searchadforests
-propertyvalue <valid list of forests or domains>
[-url] <URL>
Exemple
SharePoint se trouve dans le domaine fabrikam . Les utilisateurs du domaine Contoso doivent être résolus à partir de Personnes Sélecteur. Il existe une approbation unidirectionnelle entre le domaine fabrikam (domaine de ressources) et Contoso (domaine utilisateur) où fabrikam approuve Contoso, c’est-à-dire que les utilisateurs de Contoso peuvent accéder aux ressources fabrikam comme SharePoint, mais pas inversement.
Nous devons courir
stsadm -o setproperty -url http://<server:port> -pn peoplepicker-searchadforests -pv "forest:contoso.corp.com, contoso\<account>, <Password>;domain:bar.contoso.corp.com, contoso\<account>, <Password>"
Ici, le nom de> connexion et <le <mot de passe> font référence à un compte disposant d’autorisations de lecture sur le domaine de l’utilisateur. En règle générale, il s’agit d’un compte d’utilisateur du domaine (utilisateur) approuvé, tel que contoso\account.
S’il existe plusieurs domaines à partir desquels les utilisateurs doivent être résolus, ils doivent être entrés dans une seule stsadm commande et non séparés.
Par exemple, si vous avez deux domaines contoso et adatum à partir desquels les utilisateurs doivent être résolus.
Méthode correcte - commande stsadm unique
stsadm -o setproperty -url http://<server:port> -pn peoplepicker-searchadforests -pv "forest:contoso.corp.com, contoso\<account>, <Password>;domain:bar.contoso.corp.com, contoso\<account>, <Password>;forest:adatum.corp.com, adatum\<account>, <Password>;domain:bar.adatum.corp.com, adatum\<account>, <Password>"
Mauvaise façon : plusieurs commandes stsadm
stsadm -o setproperty -url http://<server:port> -pn peoplepicker-searchadforests -pv "forest:contoso.corp.com, contoso\<account>, <Password>;domain:bar.contoso.corp.com, contoso\<account>, <Password>"
stsadm -o setproperty -url http://<server:port> -pn peoplepicker-searchadforests -pv "forest:adatum.corp.com, adatum\<account>, <Password>;domain:bar.adatum.corp.com, adatum\<account>, <Password>"
La deuxième stsadm commande qui définit la propriété pour le domaine adatum désactive la propriété pour le domaine contoso . Par conséquent, les utilisateurs du domaine Contoso ne seront plus résolus à partir du sélecteur de Personnes.
Informations supplémentaires
Personnes fonction Picker Check Names respecte la peoplepicker-searchadforests propriété après SP2. Ce n’était pas le cas avant SP2.
Après SP2, vous ne serez pas en mesure de rechercher des utilisateurs dans un domaine externe qui se trouve dans une relation d’approbation unidirectionnelle avec le domaine local SharePoint.
Avant SP2, la fonction Personnes Picker Check Names ne respectait pas la peoplepicker-searchadforests propriété . Les utilisateurs pouvaient être résolus à partir d’autres domaines, même s’il n’y avait qu’une approbation unidirectionnelle.
La fonction Check Names utilisait LSAT et LDAP pour rechercher et afficher une correspondance avant la build 12.0000.6520.5000.
La fonction Vérifier les noms peut utiliser les méthodes De traduction de l’autorité de sécurité locale (LAST) pour résoudre les noms des domaines Windows NT 4.0 et d’autres domaines Active Directory connectés au domaine local SharePoint.
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour