共用方式為

設定人員選擇 (SharePoint Foundation 2010)

  • 發行項

 

適用版本: SharePoint Foundation 2010

上次修改主題的時間: 2016-11-30

[人員選擇] 使用 Stsadm setproperty 作業在伺服器陣列的區域等級進行設定。您可以透過設定控制項的設定,來篩選和限制使用者搜尋使用者、群組或宣告時顯示的結果。這些設定會套用到網站集合內的每個網站。

本文的資訊只適用於以傳統模式或宣告模式使用 Windows 驗證的 Web 應用程式。

[人員選擇] 控制項可在網站、清單或文件庫擁有人指派 Microsoft SharePoint Foundation 2010 權限時,用來尋找和選取使用者、群組及宣告。[人員選擇] 使用 Stsadm setproperty 作業在伺服器陣列的區域等級進行設定。您可以透過設定控制項的設定,來篩選和限制使用者搜尋使用者、群組或宣告時顯示的結果。這些設定會套用到網站集合內的每個網站。如需 [人員選擇] 屬性的詳細資訊,請參閱 Peoplepicker:Stsadm 屬性

注意

[人員選擇] 無法使用 Windows PowerShell 命令進行設定。

本文包含如何針對特定案例設定 [人員選擇] 的相關資訊。如需 [人員選擇] 控制項及其運作方式、[人員選擇] 與驗證和宣告提供者的關係,以及如何規劃 [人員選擇] 的詳細資訊,請參閱<人員選擇概觀 (SharePoint Foundation 2010)>。

執行本文中的程序之前,您必須先完成下列動作:

  • 確認您用來執行 Stsadm 的帳戶是安裝 SharePoint Foundation 2010 之伺服器上的本機 Administrators 群組成員。

  • 以系統管理員的身分開啟命令提示字元視窗,以執行本文中的程序。

  • 在安裝 SharePoint Foundation 2010 的磁碟機上,以命令提示字元變更至下列目錄:%COMMONPROGRAMFILES%\Microsoft shared\Web server extensions\14\Bin。

本文內容:

  • 檢查任何屬性的設定值

  • 清除人員選擇中的屬性值

  • 設定加密金鑰與單向信任搭配使用

  • 使用單向信任啟用跨樹系或跨網域查詢功能

  • 限制人員選擇只在 Active Directory 的特定群組中進行搜尋

  • 定義系統管理員帳戶位置

  • 強制人員選擇只挑選網站集合中的使用者

  • 使用 LDAP 查詢篩選 Active Directory 帳戶

  • 只傳回非 Active Directory 使用者帳戶

檢查任何屬性的設定值

若要檢查任何 [人員選擇] 屬性的設定,請輸入下列命令:

stsadm.exe -o getproperty -pn <屬性名稱> -url <Web 應用程式 URL>

如需詳細資訊,請參閱 Peoplepicker:Stsadm 屬性 (https://technet.microsoft.com/zh-tw/library/cc263318(office.12).aspx)。

清除人員選擇中的屬性值

您可以指定想要清除的屬性名稱,然後使用空引號做為屬性值,來移除 [人員選擇] 屬性的設定。

若要移除 [人員選擇] 中的屬性設定,請輸入下列命令:

stsadm.exe -o setproperty -pn <屬性名稱> -pv "" -url <Web 應用程式 URL>

如需詳細資訊,請參閱 Peoplepicker-searchadforests:Stsadm 屬性 (https://technet.microsoft.com/zh-tw/library/cc263460(office.12).aspx)。

設定加密金鑰與單向信任搭配使用

如果安裝 SharePoint Foundation 2010 的樹系或網域與另一個樹系或網域有單向信任,您必須先設定帳戶認證,與要查詢的樹系或網域進行驗證,才能使用 Stsadm peoplepicker-searchadforests 屬性。

注意

在安裝 SharePoint Foundation 2010 的伺服器陣列中,每個前端網頁伺服器都必須設定加密金鑰。

若要設定加密金鑰,請輸入下列命令:

stsadm.exe -o setapppassword -password <金鑰>

如需查詢其他樹系或網域的詳細資訊,請參閱關於 SharePoint 人員選擇功能的所有資訊 ( 功能 | 設定 | 疑難排解 ) 第 2 部分(可能為英文網頁) (https://go.microsoft.com/fwlink/?linkid=207666&clcid=0x404)(可能為英文網頁)。

使用單向信任時啟用跨樹系或跨網域查詢功能

如果安裝 SharePoint Foundation 2010 的樹系或網域與另一個樹系或網域有單向信任,除了要查詢的樹系或網域名稱之外,您還必須指定用來查詢樹系或網域的認證。[人員選擇] 只會查詢您在 peoplepicker-searchadforests 屬性設定中指定的樹系或網域。

若要指定要查詢的樹系或網域以及認證,請輸入下列命令:

stsadm.exe -o setproperty -pn peoplepicker-searchadforests -pv <有效的樹系或網域清單、登入名稱、密碼> -url <Web 應用程式 URL>

注意

使用 peoplepicker-searchadforests 屬性時,您不需要納入已指派給帳戶的加密金鑰密碼。不過,如果您尚未設定該帳戶的加密金鑰,則會顯示錯誤訊息。

下列範例將 [人員選擇] 設定為用在名為 Contoso.com 的樹系和名為 Fabrikam.com 的網域,並包括其個別的認證:

STSADM.exe -o setproperty -pn peoplepicker-searchadforests -pv "forest:Contoso.com,Contoso\User1,Password1; domain:Fabrikam.com,Fabrikam\User2,Password2" -url https://ServerName

如需詳細資訊,請參閱 Peoplepicker-searchadforests:Stsadm 屬性 (https://technet.microsoft.com/zh-tw/library/cc263460(office.12).aspx)。

限制人員選擇只在 Active Directory 的特定群組中進行搜尋

如果 Web 應用程式使用 Windows 驗證,但未設定網站使用者目錄的路徑,[人員選擇] 控制項就會搜尋整個 Active Directory 來解析使用者的名稱或尋找使用者,而不會只搜尋特定組織單位 (OU) 內的使用者。Stsadm setsiteuseraccountdirectorypath 作業允許將使用者的目錄路徑設成相同網域中的特定 OU。將目錄路徑設為網站集合後,[人員選擇] 控制項只會在特定 OU 下進行搜尋。

若要限制只在 Active Directory 的特定 OU 進行搜尋,請輸入下列命令:

stsadm -o setsiteuseraccountdirectorypath -path <有效的 OU 名稱> –url <Web 應用程式 URL>

下列範例將 [人員選擇] 設定為只傳回名為 "Sales" OU 中的使用者與群組:

stsadm -o setsiteuseraccountdirectorypath -path "OU=Sales,DC=ContosoCorp,DC=local" -url https://ServerName

注意

此屬性一次只能指定一個 OU,因此您只能在每個網站集合執行一次 Stsadm setsiteuseraccountdirectorypath 作業。若要一次設定多個 OU,請使用 Stsadm Peoplepicker-serviceaccountdirectorypaths 屬性。

如需詳細資訊,請參閱 Setsiteuseraccountdirectorypath: Stsadm 作業 (https://technet.microsoft.com/zh-tw/library/cc263328(office.12).aspx)。

定義系統管理員帳戶位置

管理使用者帳戶通常和一般的網站使用者位於不同 OU。如果您已使用 Stsadm setsiteuseraccountdirectorypath 作業,強制 [人員選擇] 只傳回特定 OU 的查詢結果,您也必須設定 Stsadm peoplepicker-serviceaccountdirectorypaths 屬性,讓系統管理員管理網站集合。

注意

必須設定 Setsiteuseraccountdirectorypath 作業並輸入值,才能讓 peoplepicker-serviceaccountdirectorypaths 屬性運作。

若要定義系統管理員帳戶的位置,請輸入下列命令:

Stsadm -o setproperty -pn peoplepicker-serviceaccountdirectorypaths -pv <OU 名稱清單> -url <Web 應用程式 URL>

下列範例將 [人員選擇] 設定為允許位於 OU "FarmAdmin" 的使用者:

stsadm -o setproperty -pn peoplepicker-serviceaccountdirectorypaths -pv "OU=FarmAdmin,DC=Contoso,DC=local" -url https://ServerName

如需相關資訊,請參閱 Peoplepicker-serviceaccountdirectorypaths:Stsadm 屬性 (https://technet.microsoft.com/zh-tw/library/cc263012(office.12).aspx)。

強制人員選擇只挑選網站集合中的使用者

[人員選擇] 控制項包含一個文字方塊與兩個按鈕:[檢查名稱] 按鈕與 [瀏覽] 按鈕。[檢查名稱] 按鈕可用來正確解析文字方塊中輸入的使用者名稱、群組名稱或電子郵件地址。[瀏覽] 按鈕可開啟 [選取人員與群組] 對話方塊,用來送出完整或部分字串的查詢。兩者的重要差異是 [檢查名稱] 按鈕只會正確解析文字方塊中的字串,而 [選取人員與群組] 對話方塊則會搜尋查詢字串。您可以使用 PeoplePicker-Peopleeditoronlyresolvewithinsitecollection 屬性或 PeoplePicker-Onlysearchwithinsitecollection 屬性,強制 [人員選擇] 只傳回網站集合中擁有權限的使用者。不過,設定此限制所要使用的屬性,取決於您設定的限制適用於文字方塊 (人員編輯器) 與 [檢查名稱] 按鈕,或是適用於 [選取人員與群組] 對話方塊。

若要在按一下 [檢查名稱] 按鈕後,強制 [人員選擇] 只傳回網站集合中擁有權限的使用者,請輸入下列命令:

stsadm -o setproperty –pn peoplepicker-Peopleeditoronlyresolvewithinsitecollection –pv yes –url <Web 應用程式 URL>

若要在使用 [選取人員與群組] 對話方塊後,強制 [人員選擇] 只傳回網站集合中擁有權限的使用者,請輸入下列命令:

stsadm -o setproperty –pn peoplepicker-onlysearchwithinsitecollection –pv yes –url <Web 應用程式 URL>

如需詳細資訊,請參閱 Peoplepicker-onlysearchwithinsitecollection:Stsadm 屬性 (https://technet.microsoft.com/zh-tw/library/cc261988(office.12).aspx) 與<Peoplepicker-peopleeditoronlyresolvewithinsitecollection:Stsadm 屬性 (SharePoint Foundation 2010)>。

使用 LDAP 查詢篩選 Active Directory 帳戶

您可以使用輕量型目錄存取通訊協定 (LDAP) 查詢,建立自訂篩選來顯示查詢結果。如需 LDAP 查詢的詳細資訊,請參閱 LDAP 查詢基本概要(可能為英文網頁) (https://go.microsoft.com/fwlink/?linkid=207670&clcid=0x404)(可能為英文網頁)。

若要使用自訂 LDAP 查詢,請輸入下列命令:

Stsadm –o setproperty –pn peoplepicker-searchadcustomfilter -pv <LDAP 查詢篩選> -url <Web 應用程式 URL>

下列範例可篩出沒有或已停用電子郵件地址的使用者帳戶。因為安全性群組不一定總是擁有與其相關聯的電子郵件地址,所以會使用 OR 陳述式以確保查詢結果也會包含安全性群組:

stsadm -o setproperty -pn peoplepicker-searchadcustomfilter -pv "(|(&(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))(objectcategory=group))" -url https://ServerName

下列範例只傳回使用中的使用者而不是群組:

stsadm -o setproperty -pn peoplepicker-searchadcustomfilter -pv "(&(objectCategory=person)(objectClass=user)(!userAccountControl:1.2.840.113556.1.4.803:=2))" -url https://ServerName

如需此查詢中所使用的使用者帳戶控制項字串說明,請參閱搜尋篩選語法(可能為英文網頁) (https://go.microsoft.com/fwlink/?linkid=210020&clcid=0x404)(可能為英文網頁)。

下列範例傳回職稱為 "Manager" 的 Active Directory 使用者清單:

stsadm -o setproperty -pn peoplepicker-searchadcustomfilter -pv "((Title=Manager))" -url https://ServerName

重要

請記住,每次針對特定屬性執行 setproperty 命令時,該屬性目前的值將會由您指定的新值取代。如果您需要根據多個準則來篩選查詢結果,則必須建立複合 LDAP 查詢,納入您想要篩選的所有值。

如需詳細資訊,請參閱 Peoplepicker-searchadcustomfilter:Stsadm 屬性 (https://technet.microsoft.com/zh-tw/library/cc263452(office.12).aspx)。

只傳回非 Active Directory 使用者帳戶

如果 Web 應用程式使用表單型驗證,您可以防止 [人員選擇] 在查詢結果中傳回 Active Directory 帳戶。

若要只傳回非 Active Directory 使用者帳戶,請輸入下列命令:

stsadm -o setproperty -pn peoplepicker-nowindowsaccountsfornonwindowsauthenticationmode -pv yes -url <Web 應用程式 URL>

如需詳細資訊,請參閱 Peoplepicker-nowindowsaccountsfornonwindowsauthenticationmode:Stsadm 屬性 (https://technet.microsoft.com/zh-tw/library/cc263264(office.12).aspx)。