ユーザー選択ウィンドウを構成する (SharePoint Foundation 2010)

適用先: SharePoint Foundation 2010

ユーザー選択ウィンドウは、Stsadm setproperty 操作を使用してファームのゾーン レベルで構成します。コントロールの設定を構成することで、ユーザーがユーザー、グループ、またはクレームを検索するときに表示される結果をフィルター処理して制限できます。これらの設定は、サイト コレクション内のすべてのサイトに適用されます。

この記事の情報は、Windows 認証のクラシック モードまたはクレーム モードを使用する Web アプリケーションに対してのみ適用されます。

ユーザー選択ウィンドウ コントロールは、サイト、リスト、またはライブラリの所有者が Microsoft SharePoint Foundation 2010 でアクセス許可を割り当てるときに、ユーザー、グループ、クレームを検索.および選択するために使用されます。ユーザー選択ウィンドウは、Stsadm setproperty 操作を使用してファームのゾーン レベルで構成します。コントロールの設定を構成することで、ユーザーがユーザー、グループ、またはクレームを検索したときに表示される結果をフィルター処理して制限できます。これらの設定は、サイト コレクション内のすべてのサイトに適用されます。ユーザー選択ウィンドウのプロパティの詳細については、「Peoplepicker: Stsadm プロパティ を参照してください。

この記事では、特定のシナリオ用にユーザー選択ウィンドウを構成する方法について説明します。ユーザー選択ウィンドウ コントロールとその動作、認証およびクレーム プロバイダーとの関係、およびユーザー選択ウィンドウの計画方法の詳細については、「ユーザー選択ウィンドウの概要 (SharePoint Foundation 2010)」を参照してください。

この記事で説明する手順を実行するときは、次のことを行う必要があります。

• Stsadm の実行に使用するアカウントが、SharePoint Foundation 2010 がインストールされているサーバーのローカル Administrators グループのメンバーであることを確認します。

• 管理者としてコマンド プロンプト ウィンドウを開き、この記事の手順を実行します。

• SharePoint Foundation 2010 がインストールされているドライバーのコマンド プロンプトで、ディレクトリ %COMMONPROGRAMFILES%\Microsoft shared\Web server extensions\14\Bin に移動します。

この記事の内容

• プロパティの設定値を確認する

• ユーザー選択ウィンドウからプロパティ値をクリアする

• 一方向の信頼関係で使用するための暗号化キーを設定する

• 一方向の信頼関係でクロス フォレストまたはクロス ドメインのクエリを有効にする

• Active Directory 内の特定のグループにユーザー選択ウィンドウを制限する

• 管理者アカウントの場所を定義する

• ユーザー選択ウィンドウにサイト コレクション内のユーザーからのみ選択させる

• LDAP クエリを使用して Active Directory アカウントをフィルター処理する

• Active Directory 以外のユーザー アカウントのみを返す

プロパティの設定値を確認する

ユーザー選択ウィンドウのプロパティの設定を確認するには、次のコマンドを入力します。

stsadm.exe -o getproperty -pn <プロパティ名>-url <Web アプリケーションの URL>

詳細については、「Peoplepicker: Stsadm プロパティ」(https://technet.microsoft.com/ja-jp/library/cc263318(office.12).aspx) を参照してください。

ユーザー選択ウィンドウからプロパティ値をクリアする

クリアするプロパティ名を指定し、プロパティ値に空の引用符を使用することで、ユーザー選択ウィンドウのプロパティの設定を削除できます。

ユーザー選択ウィンドウからプロパティの設定を削除するには、次のコマンドを入力します。

stsadm.exe -o setproperty -pn <プロパティ名>-pv "" -url <Web アプリケーションの URL>

詳細については、「Peoplepicker-searchadforests: Stsadm プロパティ」(https://technet.microsoft.com/ja-jp/library/cc263460(office.12).aspx) を参照してください。

一方向の信頼関係で使用するための暗号化キーを設定する

SharePoint Foundation 2010 がインストールされているフォレストまたはドメインと、別のフォレストまたはドメインの間に一方向の信頼関係がある場合は、Stsadm peoplepicker-searchadforests プロパティを使用する前に、クエリ対象のフォレストまたはドメインとの認証を許可されるアカウントの資格情報を設定する必要があります。

暗号化キーを設定するには、次のコマンドを入力します。

stsadm.exe -o setapppassword -password <キー>

別のフォレストまたはドメインのクエリに関する詳細については、「All you want to know about People Picker in SharePoint ( Functionality | Configuration | Troubleshooting ) Part-2 (英語)」(https://go.microsoft.com/fwlink/?linkid=207666&clcid=0x411) (英語) を参照してください。

一方向の信頼関係でクロス フォレストまたはクロス ドメインのクエリを有効にする

SharePoint Foundation 2010 がインストールされているフォレストまたはドメインと、別のフォレストまたはドメインの間に一方向の信頼関係がある場合は、クエリ対象のフォレストまたはドメインの名前に加えて、フォレストまたはドメインのクエリに使用する資格情報を指定する必要があります。ユーザー選択ウィンドウは、peoplepicker-searchadforests プロパティの設定で指定されているフォレストまたはドメインのみをクエリします。

クエリ対象のフォレストまたはドメインとともに資格情報を指定するには、次のコマンドを入力します。

stsadm.exe -o setproperty -pn peoplepicker-searchadforests -pv <フォレストまたはドメイン、ログイン名、パスワードの有効なリスト>-url <Web アプリケーションの URL>

次の例では、Contoso.com という名前のフォレストと Fabrikam.com という名前のドメインで使用するようにユーザー選択ウィンドウを構成し、それぞれの資格情報を指定しています。

STSADM.exe -o setproperty -pn peoplepicker-searchadforests -pv "forest:Contoso.com,Contoso\User1,Password1; domain:Fabrikam.com,Fabrikam\User2,Password2" -url https://ServerName

詳細については、「Peoplepicker-searchadforests: Stsadm プロパティ」(https://technet.microsoft.com/ja-jp/library/cc263460(office.12).aspx) を参照してください。

Active Directory 内の特定のグループにユーザー選択ウィンドウを制限する

Web アプリケーションが Windows 認証を使用し、サイト ユーザーのディレクトリ パスが設定されていない場合、ユーザー選択ウィンドウ コントロールは、特定の組織単位 (OU) 内のユーザーだけを検索するのではなく、Active Directory 全体を検索して、ユーザーの名前を解決するか、ユーザーを発見します。Stsadm setsiteuseraccountdirectorypath 操作を使用すると、ユーザーのディレクトリ パスを、同じドメイン内の特定の OU に設定できます。ディレクトリ パスをサイト コレクションに設定した後は、ユーザー選択ウィンドウ コントロールはその特定の OU でのみ検索を行います。

ユーザー選択ウィンドウを Active Directory 内の特定の OU に限定するには、対のコマンドを入力します。

stsadm -o setsiteuseraccountdirectorypath -path <有効な OU 名>–url <Web アプリケーションの URL>

次の例では、"Sales" という名前の OU 内のユーザーとグループだけを返すように、ユーザー選択ウィンドウを構成しています。

stsadm -o setsiteuseraccountdirectorypath -path "OU=Sales,DC=ContosoCorp,DC=local" -url https://ServerName

詳細については、「Setsiteuseraccountdirectorypath: Stsadm 操作」(https://technet.microsoft.com/ja-jp/library/cc263328(office.12).aspx) を参照してください。

管理者アカウントの場所を定義する

管理ユーザー アカウントは、普通のサイト ユーザーとは異なる OU にあることがよくあります。Stsadm setsiteuseraccountdirectorypath 操作を使用して、ユーザー選択ウィンドウがクエリ結果を返す対象を特定の OU に限定した場合、管理者がサイト コレクションを管理できるように、Stsadm peoplepicker-serviceaccountdirectorypaths プロパティも設定する必要があります。

管理者アカウントの場所を定義するには、次のコマンドを入力します。

Stsadm -o setproperty -pn peoplepicker-serviceaccountdirectorypaths -pv <OU 名のリスト>-url <Web アプリケーションの URL>

次の例では、OU "FarmAdmin" 内のユーザーを許可するようにユーザー選択ウィンドウを構成しています。

stsadm -o setproperty -pn peoplepicker-serviceaccountdirectorypaths -pv "OU=FarmAdmin,DC=Contoso,DC=local" -url https://ServerName

詳細については、「Peoplepicker-serviceaccountdirectorypaths: Stsadm プロパティ」(https://technet.microsoft.com/ja-jp/library/cc263012(office.12).aspx) を参照してください。

ユーザー選択ウィンドウにサイト コレクション内のユーザーからのみ選択させる

ユーザー選択ウィンドウ コントロールは、1 つのテキスト ボックスと、2 つのボタン [名前の確認] と [参照] で構成されています。[名前の確認] ボタンは、テキスト ボックスに入力したユーザー名、グループ名、または電子メール アドレスをそのまま正確に解決するために使用します。[参照] ボタンをクリックすると [ユーザーとグループの選択] ダイアログ ボックスが開き、完全な文字列または部分的な文字列のクエリを送信できます。2 つのボタンの重要な違いは、[名前の確認] ボタンはテキスト ボックスに入力した文字列を厳密に解決するだけであるのに対し、[ユーザーとグループの選択] ダイアログ ボックスではクエリ文字列が検索されることです。PeoplePicker-Peopleeditoronlyresolvewithinsitecollection プロパティまたは PeoplePicker-Onlysearchwithinsitecollection プロパティを使用することで、サイト コレクションでのアクセス許可を持つユーザーだけを返すようにユーザー選択ウィンドウを設定できます。ただし、この制限の構成に使用するプロパティは、テキスト ボックス (ユーザー エディター) と [名前の確認] ボタンまたは [ユーザーとグループの選択] ダイアログ ボックスのどちらに制限を設定するのかによって使い分けます。

[名前の確認] ボタンをクリックしたときに、サイト コレクションにアクセス許可のあるユーザーだけを返すようにユーザー選択ウィンドウを設定するには、次のコマンドを入力します。

stsadm -o setproperty –pn peoplepicker-Peopleeditoronlyresolvewithinsitecollection –pv yes –url <Web アプリケーションの URL>

[ユーザーとグループの選択] ダイアログ ボックスを使用したときに、サイト コレクションにアクセス許可のあるユーザーだけを返すようにユーザー選択ウィンドウを設定するには、次のコマンドを入力します。

stsadm -o setproperty –pn peoplepicker-onlysearchwithinsitecollection –pv yes –url <Web アプリケーションの URL>

詳細については、「Peoplepicker-onlysearchwithinsitecollection: Stsadm プロパティ」(https://technet.microsoft.com/ja-jp/library/cc261988(office.12).aspx) および「Peoplepicker-peopleeditoronlyresolvewithinsitecollection: Stsadm プロパティ (SharePoint Foundation 2010)」を参照してください。

LDAP クエリを使用して Active Directory アカウントをフィルター処理する

ライトウェイト ディレクトリ アクセス プロトコル (LDAP) クエリを使用して、クエリ結果を表示するためのカスタム フィルターを作成できます。LDAP クエリの詳細については、「LDAP Query Basics (英語)」(https://go.microsoft.com/fwlink/?linkid=207670&clcid=0x411) (英語) を参照してください。

カスタム LDAP クエリを使用するには、次のコマンドを入力します。

Stsadm –o setproperty –pn peoplepicker-searchadcustomfilter -pv <LDAP クエリ フィルター>-url <Web アプリケーションの URL>

次の例では、電子メール アドレスを持たない、または無効になっているユーザー アカウントをフィルターで除外しています。セキュリティ グループには常に電子メール アドレスが関連付けられていないので、OR ステートメントを使用してセキュリティ グループがクエリ結果に含まれるようにしています。

stsadm -o setproperty -pn peoplepicker-searchadcustomfilter -pv "(|(&(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))(objectcategory=group))" -url https://ServerName

次の例では、アクティブなユーザーだけを返し、グループを返さないようにしています。

stsadm -o setproperty -pn peoplepicker-searchadcustomfilter -pv "(&(objectCategory=person)(objectClass=user)(!userAccountControl:1.2.840.113556.1.4.803:=2))" -url https://ServerName

このクエリで使用されているユーザー アカウント制御文字列については、「Search Filter Syntax (英語)」(https://go.microsoft.com/fwlink/?linkid=210020&clcid=0x411) (英語) を参照してください。

次の例では、役職が "Manager" である Active Directory ユーザーの一覧を返しています。

stsadm -o setproperty -pn peoplepicker-searchadcustomfilter -pv "((Title=Manager))" -url https://ServerName

詳細については、「Peoplepicker-searchadcustomfilter: Stsadm プロパティ」(https://technet.microsoft.com/ja-jp/library/cc263452(office.12).aspx) を参照してください。

Active Directory 以外のユーザー アカウントのみを返す

Web アプリケーションがフォーム ベース認証を使用している場合は、Active Directory のアカウントをクエリ結果で返さないようにユーザー選択ウィンドウを設定できます。

Active Directory 以外のユーザー アカウントだけを返すには、次のコマンドを入力します。

stsadm -o setproperty -pn peoplepicker-nowindowsaccountsfornonwindowsauthenticationmode -pv yes -url <Web アプリケーションの URL>

詳細については、「Peoplepicker-nowindowsaccountsfornonwindowsauthenticationmode: Stsadm プロパティ」(https://technet.microsoft.com/ja-jp/library/cc263264(office.12).aspx) を参照してください。