Настройка средства выбора людей (SharePoint Server 2010)
Применимо к: SharePoint Foundation 2010, SharePoint Server 2010
Последнее изменение раздела: 2016-11-30
Средство выбора людей настраивается на уровне зоны для фермы с помощью команды Stsadm setproperty. В параметрах данного элемента управления можно задать фильтрацию и ограничение вывода для результатов, которые отображаются при поиске пользователей, групп или утверждений. Эти параметры будут применяться ко всем сайтам в семействе сайтов.
Данная статья относится только к веб-приложениям, в которых используется проверка подлинности Windows в классическом режиме или на основе утверждений.
Средство выбора людей используется для поиска и выбора людей, групп и утверждений, когда владелец сайта, списка или библиотеки назначает разрешения в Microsoft SharePoint Server 2010. Оно настраивается на уровне зоны для фермы с помощью команды Stsadm setproperty. В параметрах данного элемента управления можно задать фильтрацию и ограничение вывода для результатов, которые отображаются при поиске пользователей, групп или утверждений. Эти параметры будут применяться ко всем сайтам в семействе сайтов. Дополнительные сведения о свойствах средства выбора людей см. в статье Peoplepicker: свойства Stsadm.
Примечание
В Windows PowerShell нет команд для настройки средства выбора людей.
В этой статье рассказывается о настройке средства выбора людей для конкретных сценариев. Дополнительные сведения об элементе управления "Средство выбора людей" и принципах его работы, о его связи с проверкой подлинности и поставщиками утверждений, а также о планировании его использования см. в статье Обзор средства выбора людей (SharePoint Server 2010).
Перед выполнением процедур, описанных в данной статье, выполните следующие действия.
Убедитесь, что учетная запись, которая используется для запуска Stsadm, является членом локальной группы администраторов на сервере, на котором установлен продукт SharePoint Server 2010.
Для выполнения процедур из данной статьи откройте окно командной строки от имени администратора.
В командной строке на диске, на котором установлен продукт SharePoint Server 2010, перейдите в каталог %COMMONPROGRAMFILES%\Microsoft shared\Web server extensions\14\Bin.
Содержание:
Проверка значений свойств
Сброс значения свойства в средстве выбора людей
Установка ключа шифрования для использования в одностороннем отношении доверия
Разрешение запросов к другим лесам или доменам с односторонним отношением доверия
Ограничение средства выбора людей определенной группой в Active Directory
Определение расположения учетных записей администраторов
Ограничение поиска в средстве выбора людей только пользователями из семейства сайтов
Фильтрация учетных записей Active Directory с помощью запросов LDAP
Возврат только учетных записей пользователей, отсутствующих в Active Directory
Проверка значений свойств
Чтобы проверить значение для любого свойства средства выбора людей, выполните следующую команду:
stsadm.exe -o getproperty -pn <имя_свойства> -url <URL-адрес_веб?приложения>
Дополнительные сведения см. в статье, посвященной свойству Peoplepicker программы Stsadm (https://technet.microsoft.com/ru-ru/library/cc263318(office.12).aspx).
Сброс значения свойства в средстве выбора людей
Чтобы удалить значение свойства в средстве выбора людей, нужно указать имя свойства и в качестве его значения ввести пустые кавычки.
Чтобы удалить значение свойства в средстве выбора людей, выполните следующую команду:
stsadm.exe -o setproperty -pn <имя_свойства> -pv "" -url <URL-адрес_веб-приложения>
Дополнительные сведения см. в статье, посвященной свойству Peoplepicker-searchadforests программы Stsadm (https://technet.microsoft.com/ru-ru/library/cc263460(office.12).aspx).
Установка ключа шифрования для использования в одностороннем отношении доверия
Если лес или домен, в котором установлен продукт SharePoint Server 2010, имеет одностороннее отношение доверия с другим лесом или доменом, прежде, чем использовать свойство Stsadm peoplepicker-searchadforests, необходимо задать учетные данные для учетной записи, которой разрешено проходить проверку подлинности в лесу или домене, к которому будут направляться запросы.
Примечание
Ключ шифрования нужно задать на каждом интерфейсном веб-сервере в ферме, на котором установлен продукт SharePoint Server 2010.
Чтобы задать ключ шифрования, выполните следующую команду:
stsadm.exe -o setapppassword -password <ключ>
Дополнительные сведения о направлении запросов к другим лесам или доменам см. в статье Все, что нужно знать о средстве выбора людей в SharePoint ( Функции | Конфигурация | Устранение неполадок) Часть-2 (Возможно, на английском языке) (https://go.microsoft.com/fwlink/?linkid=207666&clcid=0x419) (Возможно, на английском языке).
Разрешение запросов к другим лесам или доменам с односторонним отношением доверия
Если лес или домен, в котором установлен продукт SharePoint Server 2010, имеет одностороннее отношение доверия с другим лесом или доменом, помимо имен лесов или доменов, к которым будут направляться запросы, необходимо указать учетные данные, которые должны использоваться для направления запросов к этим лесам или доменам. Средство выбора людей направляет запросы только к лесам и доменам, указанным в свойстве peoplepicker-searchadforests.
Чтобы задать леса или домены, к которым будут направляться запросы, выполните следующую команду:
stsadm.exe -o setproperty -pn peoplepicker-searchadforests -pv <допустимый_список_лесов_или_доменов, имя_для_входа, пароль> -url <URL-адрес_веб-приложения>
Примечание
При использовании свойства peoplepicker-searchadforests не обязательно включать пароль для ключа шифрования, назначенный учетной записи. Однако если ключ шифрования для учетной записи еще не задан, появится сообщение об ошибке.
В следующем примере выполняется настройка средства выбора людей для работы с лесом под названием Contoso.com и доменом Fabrikam.com, для которых указываются учетные данные:
STSADM.exe -o setproperty -pn peoplepicker-searchadforests -pv "forest:Contoso.com,Contoso\User1,Password1; domain:Fabrikam.com,Fabrikam\User2,Password2" -url https://ServerName
Дополнительные сведения см. в статье, посвященной свойству Peoplepicker-searchadforests программы Stsadm (https://technet.microsoft.com/ru-ru/library/cc263460(office.12).aspx).
Ограничение средства выбора людей определенной группой в Active Directory
Если в веб-приложении используется проверка подлинности Windows, а путь к каталогу пользователя сайта не задан, средство выбора людей будет пытаться распознать имена или найти пользователей во всем каталоге Active Directory, вместо того, чтобы искать только пользователей определенного подразделения. С помощью команды Stsadm setsiteuseraccountdirectorypath пути к каталогу пользователя можно присвоить значение определенного подразделения в том же домене. После установки пути каталога равным семейству сайтов средство выбора людей будет искать только в данном подразделении.
Чтобы ограничить средство выбора людей определенным подразделением в Active Directory, выполните следующую команду:
stsadm -o setsiteuseraccountdirectorypath -path <допустимое_название_подразделения> –url <URL-адрес_веб-приложения>
В следующем примере выполняется настройка средства выбора людей, чтобы оно возвращало только пользователей и группы из подразделения "Sales":
stsadm -o setsiteuseraccountdirectorypath -path "OU=Sales,DC=ContosoCorp,DC=local" -url https://ServerName
Примечание
Для семейства сайтов можно одновременно задать только один путь к каталогу пользователя сайта. Поскольку с помощью этого свойства можно задать только одно подразделение за раз, выполнять команду Stsadm setsiteuseraccountdirectorypath можно только один раз на семейство сайтов.
Дополнительные сведения см. в статье, посвященной свойству Setsiteuseraccountdirectorypath программы Stsadm (https://technet.microsoft.com/ru-ru/library/cc263328(office.12).aspx).
Определение расположения учетных записей администраторов
Учетные записи администраторов часто размещаются в подразделении, отличном от обычных пользователей сайта. Если для средства выбора людей с помощью команды Stsadm setsiteuseraccountdirectorypath был задан возврат только результатов запросов для определенного подразделения, также необходимо установить свойство Stsadm peoplepicker-serviceaccountdirectorypaths, чтобы администратор мог управлять семейством сайтов.
Примечание
Чтобы воспользоваться свойством peoplepicker-serviceaccountdirectorypaths, необходимо выполнить команду Setsiteuseraccountdirectorypath, указав значение.
Чтобы определить расположение учетных записей администраторов, выполните следующую команду:
Stsadm -o setproperty -pn peoplepicker-serviceaccountdirectorypaths -pv <список_названий_подразделений> -url <URL-адрес_веб-приложения>
В следующем примере выполняется настройка средства выбора людей, чтобы оно работало с пользователями из подразделения "FarmAdmin":
stsadm -o setproperty -pn peoplepicker-serviceaccountdirectorypaths -pv "OU=FarmAdmin,DC=Contoso,DC=local" -url https://ServerName
Дополнительные сведения см. в статье, посвященной свойству Peoplepicker-serviceaccountdirectorypaths программы Stsadm (https://technet.microsoft.com/ru-ru/library/cc263012(office.12).aspx).
Ограничение поиска в средстве выбора людей только пользователями из семейства сайтов
Элемент управления средства выбора людей состоит из текстового поля и двух кнопок: Проверить имена и Обзор. Кнопка Проверить имена используется для распознавания имени пользователя, имени группы или адреса электронной почты в точном соответствии с введенной в текстовом поле строкой. Кнопка Обзор открывает диалоговое окно Выбор людей и групп, с помощью которого можно отправить поисковый запрос с полной строкой или ее фрагментом. Важное отличие в функциональности этих кнопок состоит в том, что кнопка Проверить имена позволят распознать лишь точное совпадение со строкой в текстовом поле, тогда как в диалоговом окне Выбор людей и групп задается поиск по строке. В средстве выбора людей можно задать возврат только пользователей, имеющих разрешения в семействе сайтов, с помощью свойства PeoplePicker-Peopleeditoronlyresolvewithinsitecollection или PeoplePicker-Onlysearchwithinsitecollection. Используемое свойство зависит от того, устанавливается ли ограничение для текстового поля (редактор средства выбора людей) и кнопки Проверить имена или для диалогового окна Выбор людей и групп.
Чтобы средство выбора людей при нажатии кнопки Проверить имена возвращало только пользователей, имеющих разрешения в семействе сайтов, выполните следующую команду:
stsadm -o setproperty –pn peoplepicker-Peopleeditoronlyresolvewithinsitecollection –pv yes –url <URL-адрес_веб-приложения>
Чтобы средство выбора людей при использовании диалогового окна Выбор людей и групп возвращало только пользователей, имеющих разрешения в семействе сайтов, выполните следующую команду:
stsadm -o setproperty –pn peoplepicker-onlysearchwithinsitecollection –pv yes –url <URL-адрес_веб-приложения>
Дополнительные сведения см. в статье, посвященной свойству Peoplepicker-onlysearchwithinsitecollection программы Stsadm (https://technet.microsoft.com/ru-ru/library/cc261988(office.12).aspx) и в статье Peoplepicker-peopleeditoronlyresolvewithinsitecollection: свойство Stsadm (SharePoint Server 2010).
Фильтрация учетных записей Active Directory с помощью запросов LDAP
Для создания пользовательских фильтров для фильтрации результатов запросов можно использовать запросы LDAP. Дополнительные сведения о запросах LDAP см. в статье Основные сведения о запросах LDAP (Возможно, на английском языке) (https://go.microsoft.com/fwlink/?linkid=207670&clcid=0x419) (Возможно, на английском языке).
Чтобы направить пользовательский запрос LDAP, выполните следующую команду:
Stsadm –o setproperty –pn peoplepicker-searchadcustomfilter -pv <фильтр запроса LDAP> -url <URL-адрес_веб-приложения>
В следующем примере из списка результатов исключаются учетные записи отключенных пользователей или пользователей, не имеющих адресов электронной почты. Поскольку у групп безопасности не всегда имеются связанные адреса электронной почты, в запросе используется оператор OR, обеспечивающий включение в результаты запроса групп безопасности.
stsadm -o setproperty -pn peoplepicker-searchadcustomfilter -pv "(|(&(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))(objectcategory=group))" -url https://ServerName
В следующем примере возвращаются только активные пользователи, а не группы.
stsadm -o setproperty -pn peoplepicker-searchadcustomfilter -pv "(&(objectCategory=person)(objectClass=user)(!userAccountControl:1.2.840.113556.1.4.803:=2))" -url https://ServerName
Описание строки контроля учетной записи пользователя из этого запроса см. в статье, посвященной синтаксису фильтров поиска (Возможно, на английском языке) (https://go.microsoft.com/fwlink/?linkid=210020&clcid=0x419) (Возможно, на английском языке).
В следующем примере возвращается список пользователей Active Directory с должностью "Manager" (менеджер):
stsadm -o setproperty -pn peoplepicker-searchadcustomfilter -pv "((Title=Manager))" -url https://ServerName
Важно!
Имейте в виду, что при каждом выполнении команды setproperty для какого-либо свойства текущее значение этого свойства будет заменено новым указанным значением. При необходимости фильтрации результатов запроса на основании нескольких критериев нужно составить сложный запрос LDAP, включающий все значения, по которым требуется провести фильтрацию.
Дополнительные сведения см. в статье, посвященной свойству Peoplepicker-searchadcustomfilter программы Stsadm (https://technet.microsoft.com/ru-ru/library/cc263452(office.12).aspx).
Возврат только учетных записей пользователей, отсутствующих в Active Directory
Если в веб-приложении используется проверка подлинности на основе форм, средство выбора людей можно настроить так, чтобы в результаты запроса не попадали учетные записи из каталога Active Directory.
Чтобы возвращать только учетные записи пользователей, отсутствующие в каталоге Active Directory, выполните следующую команду:
stsadm -o setproperty -pn peoplepicker-nowindowsaccountsfornonwindowsauthenticationmode -pv yes -url <URL-адрес_веб-приложения>
Дополнительные сведения см. в статье, посвященной свойству Peoplepicker-nowindowsaccountsfornonwindowsauthenticationmode программы Stsadm (https://technet.microsoft.com/ru-ru/library/cc263264(office.12).aspx).
See Also
Other Resources
Центр ресурсов: безопасность и проверка подлинности для SharePoint Server 2010