Partilhar via


Configurar o People Picker (SharePoint Server 2010)

 

Aplica-se a: SharePoint Foundation 2010, SharePoint Server 2010

Tópico modificado em: 2016-11-30

O Seletor de Pessoas é configurado no nível de zona para um farm por meio da operação setproperty da ferramenta Stsadm. Ao definir as configurações para o controle, você pode filtrar e restringir os resultados que são exibidos quando um usuário pesquisa usuários, grupos ou declarações. Essas configurações são aplicáveis a todos os sites do conjunto de sites.

As informações neste artigo são aplicáveis somente a aplicativos Web que usam a autenticação do Windows no modo clássico ou no modo de declaração.

O controle Seletor de Pessoas é usado para localizar e selecionar usuários, grupos e declarações quando um proprietário de site, lista ou biblioteca atribui permissões no Microsoft SharePoint Server 2010. O Seletor de Pessoas é configurado no nível de zona para um farm por meio da operação setproperty da ferramenta Stsadm. Ao definir as configurações para o controle, você pode filtrar e restringir os resultados que são exibidos quando um usuário pesquisa usuários, grupos ou declarações. Essas configurações são aplicáveis a todos os sites do conjunto de sites. Para obter mais informações sobre as propriedades do Seletor de Pessoas, consulte o artigo sobre as propriedades Peoplepicker da ferramenta Stsadm.

Observação

Não há comandos do Windows PowerShell para configurar o Seletor de Pessoas.

Este artigo contém informações sobre como configurar o Seletor de Pessoas para cenários específicos. Para obter mais informações sobre o controle Seletor de Pessoas e como ele funciona, sua relação com a autenticação e os provedores de declarações, e como planejar o Seletor de Pessoas, consulte Visão geral do People Picker (SharePoint Server 2010).

Antes de executar os procedimentos deste artigo, você deve:

  • Verificar se a conta usada para executar Stsadm é membro do grupo local Administradores no servidor em que o SharePoint Server 2010 está instalado.

  • Abra a janela do prompt de comando como administrador para executar os procedimentos neste artigo.

  • No prompt de comando no driver em que o SharePoint Server 2010 está instalado, mude para o seguinte diretório: %COMMONPROGRAMFILES%\Microsoft shared\Web server extensions\14\Bin.

Neste artigo:

  • Verificar o valor da configuração de qualquer propriedade

  • Limpar um valor de propriedade do Seletor de Pessoas

  • Definir uma chave de criptografia para usar com uma relação de confiança unidirecional

  • Habilitar consultas entre florestas e entre domínios com uma relação de confiança unidirecional

  • Restringir o Seletor de Pessoas a determinado grupo no Active Directory

  • Definir o local de contas de administrador

  • Forçar o Seletor de Pessoas a selecionar apenas usuários do conjunto de sites

  • Filtrar contas do Active Directory usando consultas LDAP

  • Retornar apenas contas de usuário que não sejam do Active Directory

Verificar o valor da configuração de qualquer propriedade

Para verificar a configuração de qualquer propriedade do Seletor de Pessoas, digite o seguinte comando:

stsadm.exe -o getproperty -pn <Nome da Propriedade> -url <URL do aplicativo Web>

Para obter mais informações, consulte o artigo sobre as propriedades Peoplepicker da ferramenta Stsadm (https://technet.microsoft.com/pt-br/library/cc263318(office.12).aspx).

Limpar um valor de propriedade do Seletor de Pessoas

Você pode remover a configuração de uma propriedade do Seletor de Pessoas especificando o nome da propriedade que deseja limpar e usando aspas vazias para o valor da propriedade.

Para remover uma configuração de propriedade do Seletor de Pessoas, digite o seguinte comando:

stsadm.exe -o setproperty -pn <Nome da Propriedade> -pv "" -url <URL do aplicativo Web>

Para obter mais informações, consulte o artigo sobre a a propriedade Peoplepicker-searchadforests da ferramenta Stsadm (https://technet.microsoft.com/pt-br/library/cc263460(office.12).aspx).

Definir uma chave de criptografia para usar com uma relação de confiança unidirecional

Se a floresta ou domínio em que o SharePoint Server 2010 está instalado tiver uma relação de confiança unidirecional com outra floresta ou domínio, você deverá primeiro definir as credenciais para uma conta que tenha permissão para efetuar a autenticação na floresta ou domínio a ser consultado antes de poder usar a propriedade peoplepicker-searchadforests da ferramenta Stsadm.

Observação

A chave de criptografia deve ser definida em todos os servidores Web front-end no farm em que o SharePoint Server 2010 está instalado.

Para definir uma chave de criptografia, digite o seguinte comando:

stsadm.exe -o setapppassword -password <key>

Para obter mais informações sobre florestas ou domínios adicionais, consulte o artigo sobre tudo o que você deseja saber sobre o Seletor de Pessoas no SharePoint (funcionalidade, configuração e solução de problemas), parte 2 (https://go.microsoft.com/fwlink/?linkid=207666&clcid=0x416).

Habilitar consultas entre florestas e entre domínios ao usar uma relação de confiança unidirecional

Se a floresta ou domínio em que o SharePoint Server 2010 está instalado tiver uma relação de confiança unidirecional com outra floresta ou domínio, você deverá especificar as credenciais a serem usadas para consultar a floresta ou domínio, além dos nomes das florestas ou domínios a serem consultados. O Seletor de Pessoas só consulta as florestas ou domínios especificados na configuração da propriedade peoplepicker-searchadforests.

Para especificar as florestas ou domínios a serem consultados com as credenciais, digite o seguinte comando:

stsadm.exe -o setproperty -pn peoplepicker-searchadforests -pv <Lista válida de florestas ou domínios, Nome de logon, Senha> -url <URL do aplicativo Web>

Observação

Não é preciso incluir a senha da chave de criptografia atribuída à conta ao usar a propriedade peoplepicker-searchadforests. Entretanto, se você ainda não tiver definido uma chave de criptografia para a conta, uma mensagem de erro será exibida.

O exemplo a seguir configura o Seletor de Pessoas a ser usado com uma floresta nomeada Contoso.com e com um domínio nomeado Fabrikam.com, e inclui as credenciais de cada um:

STSADM.exe -o setproperty -pn peoplepicker-searchadforests -pv "forest:Contoso.com,Contoso\User1,Password1; domain:Fabrikam.com,Fabrikam\User2,Password2" -url https://ServerName

Para obter mais informações, consulte o artigo sobre a a propriedade Peoplepicker-searchadforests da ferramenta Stsadm (https://technet.microsoft.com/pt-br/library/cc263460(office.12).aspx).

Restringir o Seletor de Pessoas a determinado grupo no Active Directory

Se um aplicativo Web estiver usando a autenticação do Windows e o caminho do diretório do usuário do site não estiver definido, o controle Seletor de Pessoas pesquisará todo o Active Directory para resolver os nomes dos usuários ou localizar usuários, em vez de pesquisar somente usuários em uma unidade organizacional específica. A operação setsiteuseraccountdirectorypath da ferramenta Stsadm permite que o caminho do diretório do usuário seja definido em uma unidade organizacional específica no mesmo domínio. Depois que o caminho do diretório for definido para um conjunto de sites, o controle Seletor de Pessoas só efetuará pesquisas em determinada unidade organizacional.

Para restringir o Seletor de Pessoas a determinada unidade organizacional no Active Directory, digite o seguinte comando:

stsadm -o setsiteuseraccountdirectorypath -path <Nome de unidade organizacional válida> –url <URL do aplicativo Web>

O exemplo a seguir configura o Seletor de Pessoas para retornar apenas usuários e grupos na unidade organizacional nomeada "Vendas":

stsadm -o setsiteuseraccountdirectorypath -path "OU=Sales,DC=ContosoCorp,DC=local" -url https://ServerName

Observação

Apenas um único caminho de diretório de usuário pode ser definido por vez para um conjunto de sites. Como essa propriedade especifica apenas uma unidade organizacional de cada vez, você deve executar a operação setsiteuseraccountdirectorypath da ferramenta Stsadm apenas uma vez por conjunto de sites.

Para obter mais informações, consulte o artigo sobre a operação Setsiteuseraccountdirectorypath da ferramenta Stsadm (https://technet.microsoft.com/pt-br/library/cc263328(office.12).aspx).

Definir o local de contas de administrador

As contas de usuários administrativos geralmente são localizadas em uma unidade organizacional diferente das de usuários de sites regulares. Se você tiver usado a operação setsiteuseraccountdirectorypath da ferramenta Stsadm para forçar o Seletor de Pessoas a retornar apenas resultados de consultas de uma unidade organizacional específica, será necessário definir também a propriedade peoplepicker-serviceaccountdirectorypaths da ferramenta Stsadm para que o administrador possa gerenciar o conjunto de sites.

Observação

Antes que a propriedade peoplepicker-serviceaccountdirectorypaths funcione, a operação Setsiteuseraccountdirectorypath deve ser definida e conter um valor.

Para definir o local das contas de administrador, digite o seguinte comando:

Stsadm -o setproperty -pn peoplepicker-serviceaccountdirectorypaths -pv <Uma lista de nomes de unidades organizacionais> -url <URL do aplicativo Web>

O exemplo a seguir configura o Seletor de Pessoas para permitir os usuários que estejam na unidade organizacional "FarmAdmin":

stsadm -o setproperty -pn peoplepicker-serviceaccountdirectorypaths -pv "OU=FarmAdmin,DC=Contoso,DC=local" -url https://ServerName

Para obter mais informações, consulte o artigo sobre a propriedade Peoplepicker-serviceaccountdirectorypaths da ferramenta Stsadm (https://technet.microsoft.com/pt-br/library/cc263012(office.12).aspx).

Forçar o Seletor de Pessoas a selecionar apenas usuários do conjunto de sites

O controle Seletor de Pessoas consiste em uma caixa de texto e em dois botões: Verificar Nomes e Procurar. O botão Verificar Nomes é usado para resolver um nome de usuário, um nome de grupo ou um endereço de email exatamente como ele foi digitado na caixa de texto. O botão Procurar abre a caixa de diálogo Selecionar Pessoas e Grupos, que pode ser usada para enviar uma consulta de uma cadeia de caracteres completa ou parcial. A diferença importante entre os dois é que o botão Verificar Nomes só resolve exatamente o que está na caixa de texto, enquanto a caixa de diálogo Selecionar Pessoas e Grupos pesquisa a cadeia de consulta. Você pode forçar o Seletor de Pessoas a retornar apenas o conjunto de sites com o uso da propriedade PeoplePicker-Peopleeditoronlyresolvewithinsitecollection ou da propriedade PeoplePicker-Onlysearchwithinsitecollection. Entretanto, a propriedade usada para configurar essa restrição depende de você querer definir a restrição para a caixa de texto (editor do Seletor) e para o botão Verificar Nomes, ou para a caixa de diálogo Selecionar Pessoas e Grupos.

Para forçar o Seletor de Pessoas a retornar apenas usuários que tenham permissões no conjunto de sites quando o botão Verificar Nomes for clicado, digite o seguinte comando:

stsadm -o setproperty –pn peoplepicker-Peopleeditoronlyresolvewithinsitecollection –pv yes –url <URL do aplicativo Web>

Para forçar o Seletor de Pessoas a retornar apenas usuários que tenham permissões no conjunto de sites quando a caixa de diálogo Selecionar Pessoas e Grupos for usada, digite o seguinte comando:

stsadm -o setproperty –pn peoplepicker-onlysearchwithinsitecollection –pv yes –url <URL do aplicativo Web>

Para obter mais informações, consulte o artigo sobre a propriedade Peoplepicker-onlysearchwithinsitecollection da ferramenta Stsadm (https://technet.microsoft.com/pt-br/library/cc261988(office.12).aspx) e Peoplepicker-peopleeditoronlyresolvewithinsitecollection: propriedade do Stsadm (SharePoint Server 2010).

Filtrar contas do Active Directory usando consultas LDAP

Você pode usar uma consulta LDAP para criar um filtro personalizado para a exibição de resultados de consultas. Para obter mais informações sobre consultas LDAP, consulte o artigo sobre noções básicas de consultas LDAP (https://go.microsoft.com/fwlink/?linkid=207670&clcid=0x416).

Para usar uma consulta LDAP personalizada, digite o seguinte comando:

Stsadm –o setproperty –pn peoplepicker-searchadcustomfilter -pv <Filtro de consulta LDAP> -url <URL do aplicativo Web>

O exemplo a seguir filtra contas de usuário que não possuem endereços de email ou que estão desabilitadas. Como os grupos de segurança nem sempre têm endereços de email associados a eles, uma instrução OR é usada para garantir que os grupos de segurança ainda estejam incluídos nos resultados da consulta:

stsadm -o setproperty -pn peoplepicker-searchadcustomfilter -pv "(|(&(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))(objectcategory=group))" -url https://ServerName

O exemplo a seguir retorna apenas usuários ativos, não grupos:

stsadm -o setproperty -pn peoplepicker-searchadcustomfilter -pv "(&(objectCategory=person)(objectClass=user)(!userAccountControl:1.2.840.113556.1.4.803:=2))" -url https://ServerName

Para obter uma explicação sobre a cadeia de controle de conta de usuário usada nessa consulta, consulte o artigo sobre sintaxe de filtro de pesquisa (https://go.microsoft.com/fwlink/?linkid=210020&clcid=0x416).

O exemplo a seguir retorna uma lista de usuários do Active Directory com o título "Gerente":

stsadm -o setproperty -pn peoplepicker-searchadcustomfilter -pv "((Title=Manager))" -url https://ServerName

Importante

Lembre-se de que sempre que você executar o comando setproperty para uma propriedade específica, os valores atuais dessa propriedade serão substituídos pelos novos valores especificados. Caso seja necessário filtrar resultados de consultas com base em vários critérios, será preciso compilar uma consulta LDAP composta que inclua todos os valores que você deseja filtrar.

Para obter mais informações, consulte a propriedade Peoplepicker-searchadcustomfilter da ferramenta Stsadm (https://technet.microsoft.com/pt-br/library/cc263452(office.12).aspx).

Retornar apenas contas de usuário que não sejam do Active Directory

Se seu aplicativo Web usa autenticação baseada em formulários, você pode impedir que o Seletor de Pessoas retorne contas do Active Directory nos resultados da consulta.

Para retornar apenas contas de usuário que não sejam do Active Directory, digite o seguinte comando:

stsadm -o setproperty -pn peoplepicker-nowindowsaccountsfornonwindowsauthenticationmode -pv yes -url <URL do aplicativo Web>

Para obter mais informações, consulte o artigo sobre a propriedade Peoplepicker-nowindowsaccountsfornonwindowsauthenticationmode da ferramenta Stsadm (https://technet.microsoft.com/pt-br/library/cc263264(office.12).aspx).

See Also

Other Resources

Central de Recursos: Segurança e Autenticação para SharePoint Server 2010