Konfigurieren der Personenauswahl (SharePoint Foundation 2010)
Gilt für: SharePoint Foundation 2010
Letztes Änderungsdatum des Themas: 2016-11-30
Die Personenauswahl wird auf Zonenebene für eine Farm unter Verwendung des Stsadm-Vorgangs setproperty konfiguriert. Durch die Konfiguration der Einstellungen für das Steuerelement können Sie die Ergebnisse, die angezeigt werden, wenn ein Benutzer nach einem Benutzer, einer Gruppe oder einem Anspruch sucht, filtern und einschränken. Diese Einstellungen gelten für alle Websites innerhalb der Websitesammlung.
Die Informationen in diesem Artikel gelten nur für Webanwendungen, die die Windows-Authentifizierung entweder im klassischen Modus oder im anspruchsbasierten Modus verwenden.
Das Steuerelement Personenauswahl wird für das Suchen und Auswählen von Benutzern, Gruppen und Ansprüchen verwendet, wenn ein Website-, Listen- oder Bibliotheksbesitzer Berechtigungen in Microsoft SharePoint Foundation 2010 zuweist. Die Personenauswahl wird auf Farmebene unter Verwendung des Stsadm-Vorgangs setproperty konfiguriert. Durch die Konfiguration der Einstellungen für das Steuerelement können Sie die Ergebnisse, die angezeigt werden, wenn ein Benutzer nach einem Benutzer, einer Gruppe oder einem Anspruch sucht, filtern und einschränken. Diese Einstellungen gelten für alle Websites innerhalb der Websitesammlung. Weitere Informationen zu den Eigenschaften der Personenauswahl finden Sie unter "Peoplepicker": Stsadm-Eigenschaften.
Hinweis
Für die Konfiguration der Personenauswahl stehen keine Windows PowerShell-Befehle zur Verfügung.
Dieser Artikel enthält Informationen zur Konfiguration der Personenauswahl für bestimmte Szenarien. Weitere Informationen zum Steuerelemente Personenauswahl und seiner Funktionsweise, seiner Beziehung zu Authentifizierung und Anspruchsanbietern, und wie Sie für die Personenauswahl planen, finden Sie unter Übersicht über die Personenauswahl (SharePoint Foundation 2010).
Bevor Sie die Verfahren in diesem Artikel ausführen, müssen Sie die folgenden Schritte ausführen:
Stellen Sie sicher, dass das Konto, das zur Ausführung von Stsadm verwendet wird, Mitglied der lokalen Gruppe Administratoren auf dem Server ist, auf dem SharePoint Foundation 2010 installiert ist.
Öffnen Sie das Eingabeaufforderungsfenster als Administrator, um die Verfahren in diesem Artikel auszuführen.
Wechseln Sie in der Eingabeaufforderung auf dem Laufwerk, auf dem SharePoint Foundation 2010 installiert ist, in das Verzeichnis %COMMONPROGRAMFILES%\Microsoft shared\Web server extensions\14\Bin.
Inhalt dieses Artikels
Überprüfen des Einstellungswerts für eine beliebige Eigenschaft
Löschen eines Eigenschaftswerts aus der Personenauswahl
Festlegen eines Verschlüsselungsschlüssels zur Verwendung mit einer unidirektionalen Vertrauensstellung
Aktivieren von gesamtstrukturübergreifenden oder domänenübergreifenden Abfragen mit einer unidirektionalen Vertrauensstellung
Einschränken der Personenauswahl auf eine bestimmte Gruppe in Active Directory
Definieren des Speicherorts von Administratorkonten
Zwingen der Personenauswahl, nur Benutzer in der Websitesammlung auszuwählen
Filtern von Active Directory-Konten unter Verwendung von LDAP-Abfragen
Zurückgeben ausschließlich von nicht-Active Directory-Benutzerkonten
Überprüfen des Einstellungswerts für eine beliebige Eigenschaft
Geben Sie den folgenden Befehl ein, um die Einstellung für die Personenauswahl-Eigenschaft zu überprüfen:
stsadm.exe -o getproperty -pn <Eigenschaftsname> -url <Webanwendungs-URL>
Weitere Informationen finden Sie unter "Peoplepicker": Stsadm-Eigenschaften (https://technet.microsoft.com/de-de/library/cc263318(office.12).aspx).
Löschen eines Eigenschaftswerts aus der Personenauswahl
Sie können die Einstellung für eine Personenauswahl-Eigenschaft entfernen, indem Sie den zu löschenden Eigenschaftsnamen angeben und leere Anführungszeichen für den Eigenschaftswert verwenden.
Geben Sie den folgenden Befehl ein, um eine Eigenschaftseinstellung aus der Personenauswahl zu entfernen:
stsadm.exe -o setproperty -pn <Eigenschaftsname> -pv "" -url <Webanwendungs-URL>
Weitere Informationen finden Sie unter "Peoplepicker-searchadforests": Stsadm-Eigenschaft (https://technet.microsoft.com/de-de/library/cc263460(office.12).aspx).
Festlegen eines Verschlüsselungsschlüssels zur Verwendung mit einer unidirektionalen Vertrauensstellung
Wenn die Gesamtstruktur oder die Domäne, in der SharePoint Foundation 2010 installiert ist, über eine unidirektionalen Vertrauensstellung zu einer anderen Gesamtstruktur oder Domäne verfügt, müssen Sie zunächst die Anmeldeinformationen für ein Konto festlegen, das berechtigt ist, sich bei der Gesamtstruktur oder der Domäne zu authentifizieren, um abgefragt zu werden, bevor Sie die Stsadm-Eigenschaft peoplepicker-searchadforests verwenden können.
Hinweis
Der Verschlüsselungsschlüssel muss auf jedem Front-End-Server in der Farm festgelegt werden, auf dem SharePoint Foundation 2010 installiert ist.
Geben Sie den folgenden Befehl ein, um einen Verschlüsselungsschlüssel festzulegen:
stsadm.exe -o setapppassword -password <Schlüssel>
Weitere Informationen zum Abfragen weiterer Gesamtstrukturen oder Domänen finden Sie unter Alles was Sie über die Personenauswahl in SharePoint wissen möchten (Funktionalität | Konfiguration | Problembehandlung) Teil 2 (https://go.microsoft.com/fwlink/?linkid=207666&clcid=0x407).
Aktivieren von gesamtstrukturübergreifenden oder domänenübergreifenden Abfragen mit einer unidirektionalen Vertrauensstellung
Wenn die Gesamtstruktur oder die Domäne, in der SharePoint Foundation 2010 installiert ist, über eine unidirektionalen Vertrauensstellung zu einer anderen Gesamtstruktur oder Domäne verfügt, müssen Sie zusätzlich zu den Namen der abzufragenden Gesamtstrukturen oder Domänen die für die Abfrage der Gesamtstruktur oder der Domäne zu verwendenden Anmeldinformationen angeben. Die Personenauswahl fragt nur die in der peoplepicker-searchadforests-Eigenschaftseinstellung festgelegten Gesamtstrukturen oder Domänen ab.
Geben Sie den folgenden Befehl ein, um die abzufragenden Gesamtstrukturen oder Domänen zusammen mit den Anmeldeinformationen anzugeben:
stsadm.exe -o setproperty -pn peoplepicker-searchadforests -pv <gültige Liste der Gesamtstrukturen oder Domänen, Anmeldename, Kennwort> -url <Webanwendungs-URL>
Hinweis
Sie brauchen nicht das dem Konto zugewiesene Verschlüsselungsschlüssel-Kennwort hinzuzufügen, wenn Sie die peoplepicker-searchadforests-Eigenschaft verwenden. Wenn Sie jedoch für das Konto noch keinen Verschlüsselungsschlüssel festgelegt haben, wird eine Fehlermeldung angezeigt.
Das folgende Beispiel konfiguriert die Personenauswahl zur Verwendung mit einer Gesamtstruktur mit dem Namen Contoso.com und einer Domäne mit dem Namen Fabrikam.com und fügt die Anmeldeinformationen für beide hinzu:
STSADM.exe -o setproperty -pn peoplepicker-searchadforests -pv "forest:Contoso.com,Contoso\User1,Password1; domain:Fabrikam.com,Fabrikam\User2,Password2" -url https://ServerName
Weitere Informationen finden Sie unter "Peoplepicker-searchadforests": Stsadm-Eigenschaft (https://technet.microsoft.com/de-de/library/cc263460(office.12).aspx).
Einschränken der Personenauswahl auf eine bestimmte Gruppe in Active Directory
Wenn eine Webanwendung die Windows-Authentifizierung verwendet, und der Benutzerverzeichnispfad der Website nicht festgelegt ist, durchsucht das Steuerelement Personenauswahl das gesamte Active Directory, um die Namen der Benutzer aufzulösen oder Benutzer zu finden, anstatt nur nach Benutzern innerhalb einer bestimmten Geschäftseinheit zu suchen. Der Stsadm-Vorgang setsiteuseraccountdirectorypath ermöglicht die Festlegung des Benutzerverzeichnispfads auf eine bestimmte Geschäftseinheit in der gleichen Domäne. Nachdem der Verzeichnispfad auf eine Websitesammlung festgelegt ist, durchsucht das Steuerelement Personenauswahl nur diese bestimmte Geschäftseinheit.
Geben Sie den folgenden Befehl ein, um die Personenauswahl auf eine bestimmte Geschäftseinheit in Active Directory zu beschränken:
stsadm -o setsiteuseraccountdirectorypath -path <Name einer gültigen Geschäftseinheit> –url <Webanwendungs-URL>
Das folgende Beispiel konfiguriert die Personenauswahl so, dass nur Benutzer und Gruppen in der Geschäftseinheit "Sales" zurückgegeben werden:
stsadm -o setsiteuseraccountdirectorypath -path "OU=Sales,DC=ContosoCorp,DC=local" -url https://ServerName
Hinweis
Da diese Eigenschaft nur eine Geschäftseinheit gleichzeitig festlegt, sollte der Stsadm-Vorgang setsiteuseraccountdirectorypath nur einmal pro Websitesammlung ausgeführt werden. Wenn Sie mehrere Geschäftseinheiten gleichzeitig festlegen möchten, verwenden Sie die Stsadm-Eigenschaft Peoplepicker-serviceaccountdirectorypaths.
Weitere Informationen finden Sie unter "Setsiteuseraccountdirectorypath": Stsadm-Vorgang (https://technet.microsoft.com/de-de/library/cc263328(office.12).aspx).
Definieren des Speicherorts von Administratorkonten
Benutzerkonten von Administratoren befinden sich häufig in anderen Geschäftseinheiten als die regulärer Websitebenutzer. Wenn Sie den Stsadm-Vorgang setsiteuseraccountdirectorypath verwendet haben, um die Personenauswahl zu zwingen, nur Abfrageergebnisse von einer bestimmten Geschäftseinheit zurückzugeben, müssen Sie auch die Stsadm-Eigenschaft peoplepicker-serviceaccountdirectorypaths festlegen, damit der Administrator die Websitesammlung verwalten kann.
Hinweis
Bevor die peoplepicker-serviceaccountdirectorypaths-Eigenschaft funktionsfähig ist, muss der Setsiteuseraccountdirectorypath-Vorgang festgelegt werden und einen Wert enthalten.
Geben Sie den folgenden Befehl ein, um den Speicherort für Administratorkonten zu definieren:
Stsadm -o setproperty -pn peoplepicker-serviceaccountdirectorypaths -pv <eine Liste mit Geschäftseinheitsnamen> -url <Webanwendungs- URL>
Das folgende Beispiel konfiguriert die Personenauswahl so, dass Benutzer in der Geschäftseinheit "FarmAdmin" zulässig sind:
stsadm -o setproperty -pn peoplepicker-serviceaccountdirectorypaths -pv "OU=FarmAdmin,DC=Contoso,DC=local" -url https://ServerName
Weitere Informationen finden Sie unter "Peoplepicker-serviceaccountdirectorypaths": Stsadm-Eigenschaft (https://technet.microsoft.com/de-de/library/cc263012(office.12).aspx).
Zwingen der Personenauswahl, nur Benutzer in der Websitesammlung auszuwählen
Das Steuerelement Personenauswahl besteht aus einem Textfeld und zwei Schaltflächen: Namen überprüfen und Durchsuchen. Die Schaltfläche Namen überprüfen wird dazu verwendet, einen Benutzernamen, einen Gruppennamen oder eine E-Mail-Adresse genauso aufzulösen, wie sie im Textfeld eingegeben wurden. Die Schaltfläche Durchsuchen öffnet das Dialogfeld Personen und Gruppen auswählen, über das eine Abfrage nach einer vollständigen Zeichenfolge oder eines Teils davon übermittelt werden kann. Der wichtige Unterschied zwischen diesen beiden besteht darin, dass die Schaltfläche Namen überprüfen nur genau das auflöst, was sich in dem Feld befindet, während das Dialogfeld Personen und Gruppen auswählen nach der Abfragezeichenfolge sucht. Sie können die Personenauswahl mithilfe der PeoplePicker-Peopleeditoronlyresolvewithinsitecollection-Eigenschaft oder der PeoplePicker-Onlysearchwithinsitecollection-Eigenschaft zwingen, nur Benutzer zurückzugeben, die über Berechtigungen in der Websitesammlung verfügen. Welche Eigenschaft Sie zur Konfiguration dieser Einschränkung verwenden, ist jedoch davon abhängig, ob Sie die Einschränkung für das Textfeld (Personen-Editor) und die Schaltfläche Namen überprüfen festlegen möchten oder für das Dialogfeld Personen und Gruppen auswählen.
Geben Sie den folgenden Befehl ein, um die Personenauswahl zu zwingen, nur Benutzer zurückzugeben, die über Berechtigungen in der Websitesammlung verfügen, wenn auf die Schaltfläche Namen überprüfen geklickt wird:
stsadm -o setproperty –pn peoplepicker-Peopleeditoronlyresolvewithinsitecollection –pv yes –url <Webanwendungs-URL>
Geben Sie den folgenden Befehl ein, um die Personenauswahl zu zwingen, nur Benutzer zurückzugeben, die über Berechtigungen in der Websitesammlung verfügen, wenn das Dialogfeld Personen und Gruppen auswählen verwendet wird:
stsadm -o setproperty –pn peoplepicker-onlysearchwithinsitecollection –pv yes –url <Webanwendungs-URL>
Weitere Informationen finden Sie unter "Peoplepicker-onlysearchwithinsitecollection": Stsadm-Eigenschaft (https://technet.microsoft.com/de-de/library/cc261988(office.12).aspx) und "Peoplepicker-peopleeditoronlyresolvewithinsitecollection": Stsadm-Eigenschaft (SharePoint Foundation 2010).
Filtern von Active Directory-Konten unter Verwendung von LDAP-Abfragen
Sie können eine LDAP-Abfrage (Lightweight Directory Access Protocol) verwenden, um einen benutzerdefinierten Filter für die Anzeige von Abfrageergebnissen zu erstellen. Weitere Informationen zu LDAP-Abfragen finden Sie unter Grundlagen zu LDAP-Abfragen (https://go.microsoft.com/fwlink/?linkid=207670&clcid=0x407).
Geben Sie den folgenden Befehl ein, um eine benutzerdefinierte LDAP-Abfrage zu verwenden:
Stsadm –o setproperty –pn peoplepicker-searchadcustomfilter -pv <LDAP-Abfragefilter> -url <Webanwendungs-URL>
Das folgende Beispiel filtert Benutzerkonten aus, die keine E-Mail-Adresse besitzen, oder die deaktiviert sind. Da Sicherheitsgruppen nicht immer E-Mail-Adressen zugeordnet sind, wird eine OR-Anweisung verwendet, um sicherzustellen, dass Sicherheitsgruppen weiterhin in den Abfrageergebnissen enthalten sind:
stsadm -o setproperty -pn peoplepicker-searchadcustomfilter -pv "(|(&(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))(objectcategory=group))" -url https://ServerName
Das folgende Beispiel gibt nur aktive Benutzer zurück und keine Gruppen:
stsadm -o setproperty -pn peoplepicker-searchadcustomfilter -pv "(&(objectCategory=person)(objectClass=user)(!userAccountControl:1.2.840.113556.1.4.803:=2))" -url https://ServerName
Eine Erläuterung der in dieser Abfrage verwendeten Benutzerkonten-Steuerungszeichenfolge finden Sie unter Suchfiltersyntax (https://go.microsoft.com/fwlink/?linkid=210020&clcid=0x407).
Das folgende Beispiel gibt eine Liste mit Active Directory-Benutzern mit dem Titel "Manager" zurück:
stsadm -o setproperty -pn peoplepicker-searchadcustomfilter -pv "((Title=Manager))" -url https://ServerName
Wichtig
Beachten Sie, dass bei jeder Ausführung des Befehls setproperty für eine bestimmte Eigenschaft die aktuellen Werte dieser Eigenschaft von den neu festgelegten Werten überschrieben werden. Wenn Sie Abfrageergebnisse auf der Grundlage mehrerer Kriterien filtern möchten, müssen Sie eine zusammengesetzte LDAP-Abfrage erstellen, die alle Werte enthält, nach denen Sie filtern möchten.
Weitere Informationen finden Sie unter "Peoplepicker-searchadcustomfilter": Stsadm-Eigenschafen (https://technet.microsoft.com/de-de/library/cc263452(office.12).aspx).
Zurückgeben ausschließlich von nicht-Active Directory-Benutzerkonten
Wenn Ihre Webanwendung die formularbasierte Authentifizierung verwendet, können Sie verhindern, dass die Personenauswahl in den Abfrageergebnissen Active Directory-Konten zurückgibt.
Geben Sie den folgenden Befehl ein, um nur nicht-Active Directory-Benutzerkonten zurückzugeben:
stsadm -o setproperty -pn peoplepicker-nowindowsaccountsfornonwindowsauthenticationmode -pv yes -url <Webanwendungs-URL>
Weitere Informationen finden Sie unter "Peoplepicker-nowindowsaccountsfornonwindowsauthenticationmode": Stsadm-Eigenschaft (https://technet.microsoft.com/de-de/library/cc263264(office.12).aspx).