Configuración del selector de personas (SharePoint Server 2010)

  • Artículo

 

Se aplica a: SharePoint Foundation 2010, SharePoint Server 2010

Última modificación del tema: 2016-11-30

El selector de personas se configura a nivel de la zona para una granja de servidores mediante la operación setproperty de Stsadm. Al configurar las opciones para el control, puede filtrar y restringir los resultados que se muestran cuando un usuario busca un usuario, un grupo o una notificación. Dicha configuración se aplicará a todos los sitios de la colección de sitios.

La información de este artículo es válida solo para las aplicaciones web que usan autenticación de Windows en modo clásico o basada en notificaciones.

El control del selector de personas se usa para buscar y seleccionar usuarios, grupos y notificaciones cuando el propietario de un sitio, una lista o una biblioteca asigna permisos en Microsoft SharePoint Server 2010. El selector de personas se configura a nivel de la zona para una granja de servidores mediante la operación setproperty de Stsadm. Al configurar las opciones para el control, puede filtrar y restringir los resultados que se muestran cuando un usuario busca un usuario, un grupo o una notificación. Dicha configuración se aplicará a todos los sitios de la colección de sitios. Para obtener más información acerca de las propiedades del selector de personas, vea el tema sobre las propiedades peoplepicker de Stsadm.

Nota

No hay ningún comando de Windows PowerShell para configurar el selector de personas.

Este artículo contiene información acerca de cómo configurar el selector de personas para escenarios específicos. Para obtener más información sobre el control del selector de personas y su funcionamiento, su relación con la autenticación y los proveedores de notificaciones y cómo planear para el selector de personas, vea el tema sobre la Introducción al selector de personas (SharePoint Server 2010).

Antes de realizar los procedimientos que se describen en este artículo, debe hacer lo siguiente:

  • Compruebe que la cuenta que usa para ejecutar Stsadm pertenece al grupo de administradores locales en el servidor en el que está instalado SharePoint Server 2010.

  • Abra la ventana del símbolo del sistema como administrador para realizar los procedimientos que se describen en este artículo.

  • En el símbolo del sistema del controlador en el que está instalado SharePoint Server 2010, cambie al directorio siguiente: %COMMONPROGRAMFILES%\Microsoft shared\Web server extensions\14\Bin.

En este artículo:

  • Comprobación del valor de configuración de cualquier propiedad

  • Eliminación del valor de una propiedad en el selector de personas

  • Configuración de una clave de cifrado para usarla con confianza unidireccional

  • Habilitar consultas entre bosques o entre dominios cuando se usa una confianza unidireccional

  • Restricción del selector de personas a un grupo específico de Active Directory

  • Definición de la ubicación de las cuentas de administrador

  • Forzar el selector de personas para que solo seleccione usuarios de la colección de sitios

  • Filtrado de cuentas de Active Directory mediante consultas LDAP

  • Devolver solo cuentas de usuario que no sean de Active Directory

Comprobación del valor de configuración de cualquier propiedad

Para comprobar la configuración de cualquier propiedad del selector de personas, escriba el comando siguiente:

stsadm.exe -o getproperty -pn <nombre de propiedad> -url <dirección URL de aplicación web>

Para obtener más información, vea el tema sobre las propiedades peoplepicker de Stsadm (https://technet.microsoft.com/es-es/library/cc263318(office.12).aspx).

Eliminación del valor de una propiedad en el selector de personas

Se puede quitar el valor de una propiedad del selector de personas si se especifica el nombre de la propiedad que se va a borrar y se usan comillas vacías para el valor de la propiedad.

Para quitar un valor de la propiedad del selector de personas, escriba el comando siguiente:

stsadm.exe -o setproperty -pn <nombre de propiedad> -pv "" -url <dirección URL de la aplicación web>

Para obtener más información, vea el tema sobre la propiedad peoplepicker-searchadforests de Stsadm (https://technet.microsoft.com/es-es/library/cc263460(office.12).aspx).

Configuración de una clave de cifrado para usarla con confianza unidireccional

Si el bosque o dominio en el que SharePoint Server 2010 está instalado tiene una confianza unidireccional con otro bosque o dominio, primero se deben establecer las credenciales para una cuenta que pueda autenticarse con el bosque o dominio que se va a consultar antes de poder usar la propiedad peoplepicker-searchadforests de Stsadm.

Nota

Se debe establecer la clave de cifrado en todos los servidores front-end web de la granja en la que SharePoint Server 2010 está instalado.

Para establecer una clave de cifrado, escriba el siguiente comando:

stsadm.exe -o setapppassword -password <clave>

Para obtener más información acerca de cómo consultar más bosques o dominios, vea la entrada de blog sobre todo lo que desea saber sobre el selector de personas en SharePoint (funcionalidad, configuración y solución de problemas), parte 2 (https://go.microsoft.com/fwlink/?linkid=207666&clcid=0xC0A).

Habilitar consultas entre bosques o entre dominios cuando se usa una confianza unidireccional

Si el bosque o dominio en el que SharePoint Server 2010 está instalado tiene una confianza unidireccional con otro bosque o dominio, debe especificar las credenciales que se van a usar para consultar el bosque o dominio, además de los nombres de los bosques o dominios que se van a consultar. El selector de personas únicamente consultará los bosques o dominios especificados en el valor de la propiedad peoplepicker-searchadforests.

Para especificar los bosques o dominios que se van a consultar junto con las credenciales, escriba el comando siguiente:

stsadm.exe -o setproperty -pn peoplepicker-searchadforests -pv <lista válida de bosques o dominios, nombre de inicio de sesión, contraseña> -url <dirección URL de la aplicación web>

Nota

No es necesario incluir la contraseña de clave de cifrado asignada a la cuenta cuando se usa la propiedad peoplepicker-searchadforests. Sin embargo, si aún no se ha establecido la clave de cifrado para la cuenta, se mostrará un mensaje de error.

En el ejemplo siguiente se configura el selector de personas para usarse con un bosque denominado Contoso.com y un dominio denominado Fabrikam.com, y se incluyen las credenciales para cada uno:

STSADM.exe -o setproperty -pn peoplepicker-searchadforests -pv "forest:Contoso.com,Contoso\User1,Password1; domain:Fabrikam.com,Fabrikam\User2,Password2" -url https://ServerName

Para obtener más información, vea el tema sobre la propiedad peoplepicker-searchadforests de Stsadm (https://technet.microsoft.com/es-es/library/cc263460(office.12).aspx).

Restricción del selector de personas a un grupo específico de Active Directory

Si una aplicación web usa la autenticación de Windows y no se establece la ruta de acceso al directorio de usuario de sitio, el control del selector de personas busca en todo Active Directory para resolver los nombres de usuario o para buscar usuarios, en lugar de buscar solo usuarios de una unidad organizativa determinada. La operación de Stsadm setsiteuseraccountdirectorypath permite que la ruta de acceso al directorio del usuario se establezca en una unidad organizativa específica en el mismo dominio. Después de que la ruta de acceso al directorio se establezca en una colección de sitios, el control del selector de personas solo realizará búsquedas en esa unidad organizativa concreta.

Para restringir el selector de personas a una determinada unidad organizativa en Active Directory, escriba el comando siguiente:

stsadm -o setsiteuseraccountdirectorypath -path <nombre válido de unidad organizativa> –url <dirección URL de la aplicación web>

En el siguiente ejemplo se configura el selector de personas para devolver únicamente usuarios y grupos en la unidad organizativa denominada "Sales":

stsadm -o setsiteuseraccountdirectorypath -path "OU=Sales,DC=ContosoCorp,DC=local" -url https://ServerName

Nota

Solo puede definirse una ruta de acceso al directorio de usuarios del sitio cada vez para una colección de sitios. Dado que esta propiedad especifica solo una unidad organizativa a la vez, se debe ejecutar la operación setsiteuseraccountdirectorypath de Stsadm solo una vez por cada colección de sitios.

Para obtener más información, vea el tema sobre la operación setsiteuseraccountdirectorypath de Stsadm (https://technet.microsoft.com/es-es/library/cc263328(office.12).aspx).

Definición de la ubicación de las cuentas de administrador

Las cuentas de usuario administrativo suelen encontrarse en una unidad organizativa diferente de los usuarios habituales del sitio. Si se usó la operación setsiteuseraccountdirectorypath de Stsadm para forzar al selector de personas para que solo devuelva resultados de la consulta de una unidad organizativa específica, también se debe establecer la propiedad peoplepicker-serviceaccountdirectorypaths de Stsadm para que el administrador pueda administrar la colección de sitios.

Nota

Para que la propiedad peoplepicker-serviceaccountdirectorypaths funcione, la operación Setsiteuseraccountdirectorypath debe estar configurada y contener un valor.

Para definir la ubicación de las cuentas de administrador, escriba el comando siguiente:

Stsadm -o setproperty -pn peoplepicker-serviceaccountdirectorypaths -pv <una lista de nombres de OU> -url <dirección URL de la aplicación web>

En el siguiente ejemplo se configura el selector de personas para permitir usuarios que están en la unidad organizativa "FarmAdmin":

stsadm -o setproperty -pn peoplepicker-serviceaccountdirectorypaths -pv "OU=FarmAdmin,DC=Contoso,DC=local" -url https://ServerName

Para obtener más información, vea el tema sobre la propiedad peoplepicker-serviceaccountdirectorypaths de Stsadm (https://technet.microsoft.com/es-es/library/cc263012(office.12).aspx).

Forzar el selector de personas para que solo seleccione usuarios de la colección de sitios

El control del selector de personas consta de un cuadro de texto y dos botones: el botón Comprobar nombres y el botón Examinar. El botón Comprobar nombres se usa para resolver un nombre de usuario, nombre de grupo o dirección de correo electrónico tal y como se escribió en el cuadro de texto. El botón Examinar abre el cuadro de diálogo Seleccionar personas y grupos, que se puede usar para enviar una consulta de una cadena completa o parcial. La principal diferencia entre los dos es que el botón Comprobar nombres solo resuelve exactamente lo que está en el cuadro, mientras que el cuadro de diálogo Seleccionar personas y grupos busca la cadena de consulta. Se puede forzar el selector de personas para que solo devuelva usuarios que tienen permisos en la colección de sitios mediante la propiedad peoplePicker-Peopleeditoronlyresolvewithinsitecollection o la propiedad peoplePicker-Onlysearchwithinsitecollection. Sin embargo, la propiedad que se usa para configurar esta restricción dependerá de si se va a establecer la restricción para el cuadro de texto (editor de personas) y el botón Comprobar nombres, o bien para el cuadro de diálogo Seleccionar personas y grupos.

Si desea forzar el selector de personas para que solo devuelva usuarios que tienen permisos en la colección de sitios cuando se hace clic en el botón Comprobar nombres, escriba el comando siguiente:

stsadm -o setproperty –pn peoplepicker-Peopleeditoronlyresolvewithinsitecollection –pv yes –url <dirección URL de la aplicación web>

Si desea forzar el selector de personas para que solo devuelva usuarios que tienen permisos en la colección de sitios cuando se usa el cuadro de diálogo Seleccionar personas y grupos, escriba el comando siguiente:

stsadm -o setproperty –pn peoplepicker-onlysearchwithinsitecollection –pv yes –url <dirección URL de la aplicación web>

Para obtener más información, vea el tema sobre la propiedad peoplepicker-onlysearchwithinsitecollection de Stsadm (https://technet.microsoft.com/es-es/library/cc261988(office.12).aspx) y la Peoplepicker-peopleeditoronlyresolvewithinsitecollection: propiedad de Stsadm (SharePoint Server 2010).

Filtrado de cuentas de Active Directory mediante consultas LDAP

Se puede usar una consulta LDAP (Protocolo ligero de acceso a directorios) para crear un filtro personalizado que muestre los resultados de la consulta. Si desea obtener más información acerca de las consultas LDAP, vea los conceptos básicos sobre consultas LDAP (https://go.microsoft.com/fwlink/?linkid=207670&clcid=0xC0A).

Para usar una consulta LDAP personalizada, escriba el comando siguiente:

Stsadm –o setproperty –pn peoplepicker-searchadcustomfilter -pv <filtro de consulta LDAP> -url <dirección URL de la aplicación web>

En el ejemplo siguiente se filtran las cuentas de usuario que no tienen direcciones de correo electrónico o que están deshabilitadas. Dado que los grupos de seguridad no siempre tienen direcciones de correo electrónico asociadas a ellos, se usa una instrucción OR lógica para garantizar que los grupos de seguridad se sigan incluyendo en los resultados de la consulta:

stsadm -o setproperty -pn peoplepicker-searchadcustomfilter -pv "(|(&(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))(objectcategory=group))" -url https://ServerName

En el ejemplo siguiente se devuelven solo usuarios activos y no grupos:

stsadm -o setproperty -pn peoplepicker-searchadcustomfilter -pv "(&(objectCategory=person)(objectClass=user)(!userAccountControl:1.2.840.113556.1.4.803:=2))" -url https://ServerName

Para obtener una explicación de la cadena de control de la cuenta de usuario usada en esta consulta, vea el tema sobre la sintaxis del filtro de búsqueda (https://go.microsoft.com/fwlink/?linkid=210020&clcid=0xC0A).

En el ejemplo siguiente se devuelve una lista de usuarios de Active Directory con el título "Manager":

stsadm -o setproperty -pn peoplepicker-searchadcustomfilter -pv "((Title=Manager))" -url https://ServerName

Importante

Recuerde que cada vez que se ejecuta el comando setproperty para una propiedad específica, los valores actuales de dicha propiedad se sobrescribirán con los nuevos valores especificados. Si necesita filtrar resultados de la consulta según varios criterios, deberá crear una consulta LDAP compuesta que incluya todos los valores por los que desea filtrar.

Para obtener más información, vea el tema sobre la propiedad peoplepicker-searchadcustomfilter de Stsadm (https://technet.microsoft.com/es-es/library/cc263452(office.12).aspx).

Devolver solo cuentas de usuario que no sean de Active Directory

Si la aplicación web usa la autenticación basada en formularios, se puede impedir que el selector de personas devuelva cuentas de Active Directory en los resultados de la consulta.

Para devolver solo cuentas de usuario que no sean de Active Directory, escriba el comando siguiente:

stsadm -o setproperty -pn peoplepicker-nowindowsaccountsfornonwindowsauthenticationmode -pv yes -url <dirección URL de la aplicación web>

Para obtener más información, vea el tema sobre la propiedad peoplepicker-nowindowsaccountsfornonwindowsauthenticationmode de Stsadm (https://technet.microsoft.com/es-es/library/cc263264(office.12).aspx).

See Also

Other Resources

Centro de recursos: seguridad y autenticación para SharePoint Server 2010