Konfigurieren der Personenauswahl (SharePoint Server 2010)

  • Artikel

 

Gilt für: SharePoint Foundation 2010, SharePoint Server 2010

Letztes Änderungsdatum des Themas: 2016-11-30

Die Personenauswahl wird mithilfe des Stsadm-Vorgangs setproperty auf Zonenebene für eine Farm konfiguriert. Durch Konfigurieren der Einstellungen für das Steuerelement können Sie die Ergebnisse filtern und einschränken, die angezeigt werden, wenn ein Benutzer nach einem Benutzer, einer Gruppe oder einem Anspruch sucht. Diese Einstellungen gelten für jede Website innerhalb der Websitesammlung.

Die Informationen in diesem Artikel gelten nur für Webanwendungen, in denen klassische oder anspruchsbasierte Windows-Authentifizierung angewendet wird.

Das Steuerelemenet Personenauswahl wird zum Suchen und Auswählen von Benutzern, Gruppen und Ansprüchen verwendet, wenn ein Website-, Listen- oder Bibliothekbesitzer Berechtigungen in Microsoft SharePoint Server 2010 zuweist. Die Personenauswahl wird mithilfe des Stsadm-Vorgangs setproperty auf Zonenebene für eine Farm konfiguriert. Durch Konfigurieren der Einstellungen für das Steuerelement können Sie die Ergebnisse filtern und einschränken, die angezeigt werden, wenn ein Benutzer nach einem Benutzer, einer Gruppe oder einem Anspruch sucht. Diese Einstellungen gelten für jede Website innerhalb der Websitesammlung. Weitere Informationen zu den Eigenschaften der Personenauswahl finden Sie unter Peoplepicker: Stsadm-Eigenschaften.

Hinweis

Es gibt keine Windows PowerShell-Befehle zum Konfigurieren der Personenauswahl.

Dieser Artikel enthält Informationen zum Konfigurieren der Personenauswahl für spezielle Szenarien. Weitere Informationen zum Steuerelement Personenauswahl, seiner Funktionsweise, dem Zusammenhang mit Authentifizierungs- und Anspruchsanbietern und zur Planung der Personenauswahl finden Sie unter Übersicht über die Personenauswahl (SharePoint Server 2010).

Bevor Sie die Verfahren in diesem Artikel durchführen, müssen Sie folgende Schritte ausführen:

  • Stellen Sie sicher, dass das Konto, mit dem Sie Stsadm ausführen, ein Mitglied der lokalen Gruppe der Administratoren auf dem Server ist, auf dem SharePoint Server 2010 installiert ist.

  • Öffnen Sie das Eingabeaufforderungsfenster als Administrator, um die Verfahren in diesem Artikel durchführen zu können.

  • Wechseln Sie an der Eingabeaufforderung auf dem Laufwerk, auf dem SharePoint Server 2010 installiert ist, zu folgendem Verzeichnis: %COMMONPROGRAMFILES%\Microsoft shared\Web server extensions\14\Bin.

Inhalt dieses Artikels

  • Überprüfen des Einstellungswerts für eine Eigenschaft

  • Löschen eines Eigenschaftswerts der Personenauswahl

  • Festlegen eines Verschlüsselungsschlüssels für die Verwendung mit einer unidirektionalen Vertrauensstellung

  • Unterstützen von gesamtstruktur- oder domänenübergreifenden Abfragen bei Verwendung einer unidirektionalen Vertrauensstellung

  • Beschränken der Personenauswahl auf eine bestimmte Gruppe in Active Directory

  • Festlegen des Speicherorts von Administratorkonten

  • Erzwingen, dass die Personenauswahl nur aus Benutzern in der Websitesammlung auswählt

  • Filtern von Active Directory-Konten mithilfe von LDAP-Abfragen

  • Zurückgeben nur von Active Directory-fremden Benutzerkonten

Überprüfen des Einstellungswerts für eine Eigenschaft

Geben Sie zum Überprüfen der Einstellung für eine Eigenschaft der Personenauswahl folgenden Befehl ein:

stsadm.exe -o getproperty -pn <Eigenschaftsname> -url <Webanwendungs-URL>

Weitere Informationen finden Sie unter Peoplepicker: Stsadm-Eigenschaften (https://technet.microsoft.com/de-de/library/cc263318(office.12).aspx).

Löschen eines Eigenschaftswerts der Personenauswahl

Sie können den Wert für eine Eigenschaft der Personenauswahl entfernen, indem Sie den Namen der zu löschenden Eigenschaft angeben und dann leere Anführungszeichen für den Eigenschaftswert verwenden.

Geben Sie zum Entfernen eines Eigenschaftswerts der Personenauswahl folgenden Befehl ein:

stsadm.exe -o setproperty -pn <Eigenschaftsname> -pv "" -url <Webanwendungs-URL>

Weitere Informationen finden Sie unter Peoplepicker-searchadforests: Stsadm-Eigenschaft (https://technet.microsoft.com/de-de/library/cc263460(office.12).aspx).

Festlegen eines Verschlüsselungsschlüssels für die Verwendung mit einer unidirektionalen Vertrauensstellung

Wenn die Gesamtstruktur oder Domäne, in der SharePoint Server 2010 installiert ist, eine unidirektionale Vertrauensstellung mit einer anderen Gesamtstruktur oder Domäne aufweist, müssen Sie zuerst die Anmeldeinformationen für ein Konto festlegen, das berechtigt ist, sich bei der abzufragenden Gesamtstruktur oder Domäne zu authentifizieren, bevor Sie die Stsadm-Eigenschaft peoplepicker-searchadforests verwenden können.

Hinweis

Der Verschlüsselungsschlüssel muss auf jedem Front-End-Webserver in der Farm festgelegt werden, auf dem SharePoint Server 2010 installiert ist.

Geben Sie zum Festlegen eines Verschlüsselungsschlüssels den folgenden Befehl ein:

stsadm.exe -o setapppassword -password <Schlüssel>

Weitere Informationen zum Abfragen von zusätzlichen Gesamtstrukturen oder Domänen finden Sie unter All you want to know about People Picker in SharePoint ( Functionality | Configuration | Troubleshooting ) Part-2 (https://go.microsoft.com/fwlink/?linkid=207666&clcid=0x407).

Unterstützen von gesamtstruktur- oder domänenübergreifenden Abfragen bei Verwendung einer unidirektionalen Vertrauensstellung

Wenn die Gesamtstruktur oder Domäne, in der SharePoint Server 2010 installiert ist, eine unidirektionale Vertrauensstellung mit einer anderen Gesamtstruktur oder Domäne aufweist, müssen Sie neben den Anmeldeinformationen, die zum Abfragen der Gesamtstruktur oder Domäne verwendet werden sollen, auch die Namen der abzufragenden Gesamtstrukturen oder Domänen angeben. Mit der Personenauswahl werden nur diejenigen Gesamtstrukturen oder Domänen abgefragt, die Sie in der Einstellung für die peoplepicker-searchadforests-Eigenschaft angeben.

Geben Sie zum Angeben der abzufragenden Gesamtstrukturen oder Domänen sowie der Anmeldeinformationen folgenden Befehl ein:

stsadm.exe -o setproperty -pn peoplepicker-searchadforests -pv <Gültige Liste der Gesamtstrukturen oder Domänen, Anmeldename, Kennwort> -url <Webanwendungs-URL>

Hinweis

Wenn Sie die peoplepicker-searchadforests-Eigenschaft verwenden, ist es nicht erforderlich, das Kennwort für den Verschlüsselungsschlüssel einzuschließen, das Sie dem Konto zugeordnet haben. Sollten Sie jedoch noch keinen Verschlüsselungsschlüssel für das Konto festgelegt haben, wird eine Fehlermeldung angezeigt.

Im folgenden Beispiel wird die Personenauswahl für die Verwendung mit der Gesamtstruktur Contoso.com und der Domäne Fabrikam.com konfiguriert, und die Anmeldeinformationen für beide werden angegeben:

STSADM.exe -o setproperty -pn peoplepicker-searchadforests -pv "forest:Contoso.com,Contoso\User1,Password1; domain:Fabrikam.com,Fabrikam\User2,Password2" -url https://ServerName

Weitere Informationen finden Sie unter Peoplepicker-searchadforests: Stsadm-Eigenschaft (https://technet.microsoft.com/de-de/library/cc263460(office.12).aspx).

Beschränken der Personenauswahl auf eine bestimmte Gruppe in Active Directory

Wenn in einer Webanwendung Windows-Authentifizierung verwendet wird und der Verzeichnispfad für den Websitebenutzer nicht festgelegt ist, wird mit dem Steuerelement Personenauswahl das gesamte Active Directory-Verzeichnis durchsucht, um die Namen von Benutzern aufzulösen oder Benutzer zu finden, und nicht nur die Benutzer innerhalb einer bestimmten Organisationseinheit. Der Stsadm-Vorgang setsiteuseraccountdirectorypath ermöglicht Ihnen, den Verzeichnispfad des Benutzers auf eine bestimmte Organisationseinheit in der gleichen Domäne festzulegen. Sobald Sie den Verzeichnispfad auf eine Websitesammlung festgelegt haben, sucht die Personenauswahl nur in dieser speziellen Organisationseinheit.

Geben Sie zum Beschränken der Personenauswahl auf eine bestimmte Organisationseinheit in Active Directory den folgenden Befehl ein:

stsadm -o setsiteuseraccountdirectorypath -path <Gültiger Name einer Organisationseinheit> –url <Webanwendungs-URL>

Im folgenden Beispiel wird die Personenauswahl so konfiguriert, dass sie nur Benutzer und Gruppen in der Organisationseinheit "Sales" zurückgibt:

stsadm -o setsiteuseraccountdirectorypath -path "OU=Sales,DC=ContosoCorp,DC=local" -url https://ServerName

Hinweis

Für eine Websitesammlung kann immer nur ein Verzeichnispfad für den Websitebenutzer festgelegt werden. Da diese Eigenschaft immer nur eine Organisationseinheit angibt, sollten Sie den Stsadm-Vorgang setsiteuseraccountdirectorypath nur einmal pro Websitesammlung ausführen.

Weitere Informationen finden Sie unter Setsiteuseraccountdirectorypath: Stsadm-Vorgang (https://technet.microsoft.com/de-de/library/cc263328(office.12).aspx).

Festlegen des Speicherorts von Administratorkonten

Administratorkonten befinden sich häufig in einer anderen Organisationseinheit als Konten von regulären Websitebenutzern. Wenn Sie mithilfe des Stsadm-Vorgangs setsiteuseraccountdirectorypath erzwungen haben, dass die Personenauswahl nur Abfrageergebnisse aus einer bestimmten Organisationseinheit zurückgibt, müssen Sie auch die Stsadm-Eigenschaft peoplepicker-serviceaccountdirectorypaths konfigurieren, damit der Administrator die Websitesammlung verwalten kann.

Hinweis

Damit die peoplepicker-serviceaccountdirectorypaths-Eigenschaft wirksam wird, muss der Setsiteuseraccountdirectorypath-Vorgang konfiguriert werden und einen Wert enthalten.

Geben Sie zum Festlegen des Speicherorts von Administratorkonten den folgenden Befehl ein:

Stsadm -o setproperty -pn peoplepicker-serviceaccountdirectorypaths -pv <Liste mit Namen von Organisationseinheiten> -url <Webanwendungs-URL>

Im folgenden Beispiel wird die Personenauswahl so konfiguriert, dass Benutzer zugelassen werden, die sich in der Organisationseinheit "FarmAdmin" befinden:

stsadm -o setproperty -pn peoplepicker-serviceaccountdirectorypaths -pv "OU=FarmAdmin,DC=Contoso,DC=local" -url https://ServerName

Weitere Informationen finden Sie unter Peoplepicker-serviceaccountdirectorypaths: Stsadm-Eigenschaft (https://technet.microsoft.com/de-de/library/cc263012(office.12).aspx).

Erzwingen, dass die Personenauswahl nur aus Benutzern in der Websitesammlung auswählt

Das Steuerelement Personenauswahl setzt sich aus einem Textfeld und zwei Schaltflächen zusammen, der Schaltfläche Namen überprüfen und der Schaltfläche Durchsuchen. Mit der Schaltfläche Namen überprüfen werden Benutzernamen, Gruppennamen oder E-Mail-Adressen genau so aufgelöst, wie sie in das Textfeld eingegeben wurden. Mit der Schaltfläche Durchsuchen wird das Dialogfeld Personen und Gruppen auswählen geöffnet, in dem Sie eine Abfrage nach einer vollständigen oder teilweisen Zeichenfolge senden können. Der Hauptunterschied zwischen den beiden Schaltflächen besteht darin, dass mit der Schaltfläche Namen überprüfen nur genau das aufgelöst wird, was sich im Textfeld befindet, während mit dem Dialogfeld Personen und Gruppen auswählen nach der Abfragezeichenfolge gesucht wird. Sie können erzwingen, dass die Personenauswahl nur die Benutzer zurückgibt, die über Berechtigungen in der Websitesammlung verfügen. Dazu verwenden Sie entweder die PeoplePicker-Peopleeditoronlyresolvewithinsitecollection-Eigenschaft oder die PeoplePicker-Onlysearchwithinsitecollection-Eigenschaft. Welche Eigenschaft Sie zum Konfigurieren dieser Beschränkung verwenden sollten, hängt davon ab, ob Sie die Beschränkung für das Textfeld (Personenauswahl-Editor) und die Schaltfläche Namen überprüfen festlegen möchten oder für das Dialogfeld Personen und Gruppen auswählen.

Wenn Sie erzwingen möchten, dass beim Klicken auf die Schaltfläche Namen überprüfen von der Personenauswahl nur Benutzer zurückgegeben werden, die über Berechtigungen in der Websitesammlung verfügen, geben Sie folgenden Befehl ein:

stsadm -o setproperty –pn peoplepicker-Peopleeditoronlyresolvewithinsitecollection –pv yes –url <Webanwendungs-URL>

Wenn Sie erzwingen möchten, dass beim Verwenden des Dialogfelds Personen und Gruppen auswählen von der Personenauswahl nur Benutzer zurückgegeben werden, die über Berechtigungen in der Websitesammlung verfügen, geben Sie den folgenden Befehl ein:

stsadm -o setproperty –pn peoplepicker-onlysearchwithinsitecollection –pv yes –url <Webanwendungs-URL>

Weitere Informationen finden Sie unter Peoplepicker-onlysearchwithinsitecollection: Stsadm-Eigenschaft (https://technet.microsoft.com/de-de/library/cc261988(office.12).aspx) and "Peoplepicker-peopleeditoronlyresolvewithinsitecollection": Stsadm-Eigenschaft (SharePoint Server 2010).

Filtern von Active Directory-Konten mithilfe von LDAP-Abfragen

Sie können eine LDAP-Abfrage (Lightweight Directory Access Protocol) verwenden, um einen benutzerdefinierten Filter zum Anzeigen von Abfrageergebnissen zu erstellen. Weitere Informationen zu LDAP-Abfragen finden Sie unter Grundlagen zu LDAP-Abfragen (https://go.microsoft.com/fwlink/?linkid=207670&clcid=0x407).

Geben Sie zum Verwenden einer benutzerdefinierten LDAP-Abfrage den folgenden Befehl ein:

Stsadm –o setproperty –pn peoplepicker-searchadcustomfilter -pv <Filter für LDAP-Abfrage> -url <Webanwendungs-URL>

Im folgenden Beispiel werden Benutzerkonten herausgefiltert, die entweder keine E-Mail-Adresse haben oder deaktiviert sind. Da Sicherheitsgruppen nicht immer E-Mail-Adressen zugeordnet sind, wird mithilfe einer OR-Anweisung sichergestellt, dass Sicherheitsgruppen dennoch in den Abfrageergebnissen enthalten sind:

stsadm -o setproperty -pn peoplepicker-searchadcustomfilter -pv "(|(&(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))(objectcategory=group))" -url https://ServerName

Im folgenden Beispiel werden nur aktive Benutzer zurückgegeben und keine Gruppen:

stsadm -o setproperty -pn peoplepicker-searchadcustomfilter -pv "(&(objectCategory=person)(objectClass=user)(!userAccountControl:1.2.840.113556.1.4.803:=2))" -url https://ServerName

Eine Erklärung der Zeichenfolge für das Benutzerkontosteuerelement in dieser Abfrage finden Sie unter Suchfiltersyntax (https://go.microsoft.com/fwlink/?linkid=210020&clcid=0x407).

Im folgenden Beispiel wird eine Liste von Active Directory-Benutzern mit dem Titel "Manager" zurückgegeben:

stsadm -o setproperty -pn peoplepicker-searchadcustomfilter -pv "((Title=Manager))" -url https://ServerName

Wichtig

Denken Sie daran, dass bei jeder Ausführung des setproperty-Befehls für eine bestimmte Eigenschaft die aktuellen Werte dieser Eigenschaft durc die neuen von Ihnen angegebenen Werte überschrieben werden. Wenn Sie Abfrageergebnisse nach mehreren Kriterien filtern müssen, müssen Sie eine zusammengesetzte LDAP-Abfrage erstellen, die alle Werte enthält, nach denen Sie filtern möchten.

Weitere Informationen finden Sie unter Peoplepicker-searchadcustomfilter: Stsadm-Eigenschaft (https://technet.microsoft.com/de-de/library/cc263452(office.12).aspx).

Zurückgeben nur von Active Directory-fremden Benutzerkonten

Wenn in Ihrer Webanwendung formularbasierte Authentifizierung verwendet wird, können Sie unterbinden, dass die Personenauswahl Active Directory-Konten in den Abfrageergebnissen zurückgibt.

Wenn nur Active Directory-fremde Benutzerkonten zurückgegeben werden sollen, geben Sie den folgenden Befehl ein:

stsadm -o setproperty -pn peoplepicker-nowindowsaccountsfornonwindowsauthenticationmode -pv yes -url <Webanwendungs-URL>

Weitere Informationen finden Sie unter Peoplepicker-nowindowsaccountsfornonwindowsauthenticationmode: Stsadm-Eigenschaft (https://technet.microsoft.com/de-de/library/cc263264(office.12).aspx).

See Also

Other Resources

Ressourcencenter: Sicherheit und Authentifizierung für SharePoint Server 2010