ユーザー選択ウィンドウを構成する (SharePoint Server 2010)

  • [アーティクル]

 

適用先: SharePoint Foundation 2010, SharePoint Server 2010

トピックの最終更新日: 2016-11-30

ユーザー選択ウィンドウは、Stsadm の setproperty 操作を使用して、ファームに対してゾーン レベルで構成します。このコントロールの設定を構成することにより、ユーザー、グループ、またはクレームをユーザーが検索した際に表示される結果をフィルター処理して限定できます。これらの設定は、サイト コレクション内のすべてのサイトに適用されます。

この記事の情報は、クラシック モードまたはクレーム モードの Windows 認証を使用する Web アプリケーションにのみ適用されます。

ユーザー選択ウィンドウ コントロールは、Microsoft SharePoint Server 2010 のサイト、リスト、またはライブラリの所有者がアクセス許可を与える際、ユーザー、グループ、およびクレームを検索して選択するために使用します。ユーザー選択ウィンドウは、Stsadm の setproperty 操作を使用して、ファームに対してゾーン レベルで構成します。このコントロールの設定を構成することにより、ユーザー、グループ、またはクレームをユーザーが検索した際に表示される結果をフィルター処理して限定できます。これらの設定は、サイト コレクション内のすべてのサイトに適用されます。ユーザー選択ウィンドウのプロパティの詳細については、「Peoplepicker : Stsadm プロパティ」を参照してください。

注意

ユーザー選択ウィンドウを構成するための Windows PowerShell コマンドはありません。

この記事では、特定のシナリオでユーザー選択ウィンドウを構成する方法について説明します。ユーザー選択ウィンドウ コントロールとその動作、認証プロバイダーやクレーム プロバイダーとの関係、およびユーザー選択ウィンドウの計画方法については、「ユーザー選択ウィンドウの概要 (SharePoint Server 2010)」を参照してください。

この記事の手順を実行する前に、次の作業を行う必要があります。

  • Stsadm の実行に使用するアカウントが、SharePoint Server 2010 がインストールされているサーバーのローカル Administrators グループのメンバーであることを確認します。

  • この記事の手順を実行するために、管理者としてコマンド プロンプト ウィンドウを開きます。

  • コマンド プロンプトで、SharePoint Server 2010 がインストールされているドライブの %COMMONPROGRAMFILES%\Microsoft shared\Web server extensions\14\Bin ディレクトリに移動します。

この記事の内容

  • 任意のプロパティの設定値を確認する

  • ユーザー選択ウィンドウのプロパティ値をクリアする

  • 一方向の信頼で使用する暗号化キーを設定する

  • 一方向の信頼を使用する場合にクロス フォレスト クエリまたはクロス ドメイン クエリを有効にする

  • ユーザー選択ウィンドウを Active Directory の特定のグループに制限する

  • 管理者アカウントの場所を定義する

  • ユーザー選択ウィンドウでサイト コレクション内のユーザーのみが強制的に選択されるようにする

  • LDAP クエリを使用して Active Directory アカウントをフィルターする

  • Active Directory 以外のユーザー アカウントのみを返す

任意のプロパティの設定値を確認する

ユーザー選択ウィンドウのプロパティの設定を確認するには、次のコマンドを入力します。

stsadm.exe -o getproperty -pn <プロパティ名> -url<Web アプリケーションの URL>

詳細については、「Peoplepicker : Stsadm プロパティ」(https://technet.microsoft.com/ja-jp/library/cc263318(office.12).aspx) を参照してください。

ユーザー選択ウィンドウのプロパティ値をクリアする

ユーザー選択ウィンドウのプロパティの設定を削除できます。これを行うには、クリアするプロパティ名を指定し、プロパティ値に空の二重引用符を使用します。

ユーザー選択ウィンドウからプロパティ設定を削除するには、次のコマンドを入力します。

stsadm.exe -o setproperty -pn <プロパティ名> -pv "" -url<Web アプリケーションの URL>

詳細については、「Peoplepicker-searchadforests : Stsadm プロパティ」(https://technet.microsoft.com/ja-jp/library/cc263460(office.12).aspx) を参照してください。

一方向の信頼で使用する暗号化キーを設定する

SharePoint Server 2010 がインストールされているフォレストまたはドメインに別のフォレストまたはドメインとの一方向の信頼が含まれている場合は、Stsadm の peoplepicker-searchadforests プロパティを使用する前に、まずクエリ対象のフォレストまたはドメインとの認証が許可されるアカウントの資格情報を設定する必要があります。

注意

SharePoint Server 2010 がインストールされているファームのすべてのフロントエンド Web サーバーで暗号化キーを設定する必要があります。

暗号化キーを設定するには、次のコマンドを入力します。

stsadm.exe -o setapppassword -password <キー>

他のフォレストまたはドメインに対するクエリの実行の詳細については、「All you want to know about People Picker in SharePoint ( Functionality | Configuration | Troubleshooting ) Part-2 (英語)」(https://go.microsoft.com/fwlink/?linkid=207666&clcid=0x411) を参照してください。

一方向の信頼を使用する場合にクロス フォレスト クエリまたはクロス ドメイン クエリを有効にする

SharePoint Server 2010 がインストールされているフォレストまたはドメインに別のフォレストまたはドメインとの一方向の信頼が含まれている場合は、クエリ対象のフォレストまたはドメインの名前に加えて、フォレストまたはドメインに対するクエリの実行に使用する資格情報を指定する必要があります。ユーザー選択ウィンドウでは、peoplepicker-searchadforests プロパティ設定で指定したフォレストまたはドメインに対してのみクエリが実行されます。

クエリ対象のフォレストまたはドメインと資格情報を指定するには、次のコマンドを入力します。

stsadm.exe -o setproperty -pn peoplepicker-searchadforests -pv <フォレストまたはドメインの有効なリスト, ログイン名, パスワード> -url <Web アプリケーションの URL>

注意

peoplepicker-searchadforests プロパティを使用するときには、アカウントに割り当てた暗号化キー パスワードを指定する必要はありません。ただし、アカウントに暗号化キーをまだ設定していない場合は、エラー メッセージが表示されます。

次の例では、Contoso.com というフォレストと Fabrikam.com というドメインで使用するユーザー選択ウィンドウを構成し、それぞれの資格情報を指定します。

STSADM.exe -o setproperty -pn peoplepicker-searchadforests -pv "forest:Contoso.com,Contoso\User1,Password1; domain:Fabrikam.com,Fabrikam\User2,Password2" -url https://ServerName

詳細については、「Peoplepicker-searchadforests : Stsadm プロパティ」(https://technet.microsoft.com/ja-jp/library/cc263460(office.12).aspx) を参照してください。

ユーザー選択ウィンドウを Active Directory の特定のグループに制限する

Web アプリケーションで Windows 認証を使用していて、サイト ユーザーのディレクトリ パスが設定されていない場合、ユーザー選択ウィンドウ コントロールは、特定の組織単位 (OU) 内のユーザーのみを検索する代わりに、Active Directory 全体を検索してユーザー名を解決するか、ユーザーを見つけます。Stsadm の setsiteuseraccountdirectorypath 操作を使用すると、ユーザーのディレクトリ パスを同じドメインの特定の OU に設定できます。ディレクトリ パスをサイト コレクションに設定すると、ユーザー選択ウィンドウ コントロールはその特定の OU のみを検索するようになります。

ユーザー選択ウィンドウを Active Directory の特定の OU に制限するには、次のコマンドを入力します。

stsadm -o setsiteuseraccountdirectorypath -path <有効な OU 名> –url <Web アプリケーションの URL>

次の例では、"Sales" という OU のユーザーとグループのみを返すようにユーザー選択ウィンドウを構成します。

stsadm -o setsiteuseraccountdirectorypath -path "OU=Sales,DC=ContosoCorp,DC=local" -url https://ServerName

注意

サイト コレクションに一度に設定できるサイト ユーザー ディレクトリ パスは1つだけです。このプロパティでは一度に 1 つの OU のみを指定するため、Stsadm setsiteuseraccountdirectorypath 操作はサイト コレクションごとに一度だけ実行する必要があります。

詳細については、「Setsiteuseraccountdirectorypath : Stsadm 操作」(https://technet.microsoft.com/ja-jp/library/cc263328(office.12).aspx) を参照してください。

管理者アカウントの場所を定義する

管理ユーザー アカウントは、多くの場合、通常のサイト ユーザーとは異なる OU に置かれます。Stsadm の setsiteuseraccountdirectorypath 操作を使用して、ユーザー選択ウィンドウが特定の OU からのクエリ結果のみを返すように強制している場合は、管理者がサイト コレクションを管理できるように、Stsadm の peoplepicker-serviceaccountdirectorypaths プロパティも設定する必要があります。

注意

peoplepicker-serviceaccountdirectorypaths プロパティを機能させるには、事前に Setsiteuseraccountdirectorypath 操作を設定し、この操作に値を指定しておく必要があります。

管理者アカウントの場所を定義するには、次のコマンドを入力します。

Stsadm -o setproperty -pn peoplepicker-serviceaccountdirectorypaths -pv <OU 名のリスト> -url <Web アプリケーションの URL>

次の例では、"FarmAdmin" という OU のユーザーを許可するようにユーザー選択ウィンドウを構成します。

stsadm -o setproperty -pn peoplepicker-serviceaccountdirectorypaths -pv "OU=FarmAdmin,DC=Contoso,DC=local" -url https://ServerName

詳細については、「Peoplepicker-serviceaccountdirectorypaths : Stsadm プロパティ」(https://technet.microsoft.com/ja-jp/library/cc263012(office.12).aspx) を参照してください。

ユーザー選択ウィンドウでサイト コレクション内のユーザーのみが強制的に選択されるようにする

ユーザー選択ウィンドウ コントロールには、1 つのテキスト ボックスと、[名前の確認] および [参照] の 2 つのボタンがあります。[名前の確認] ボタンは、ユーザー名、グループ名、または電子メール アドレスを、テキスト ボックスに入力したとおりに解決するために使用します。[参照] ボタンは、完全または部分的な文字列のクエリを送信するために使用できる [ユーザーとグループの選択] ダイアログ ボックスを開きます。 この 2 つのボタンの重要な違いは、[名前の確認] ボタンはテキスト ボックスの内容を正確に解決するだけなのに対し、[ユーザーとグループの選択] ダイアログ ボックスはクエリ文字列を検索することです。PeoplePicker-Peopleeditoronlyresolvewithinsitecollection プロパティまたは PeoplePicker-Onlysearchwithinsitecollection プロパティのいずれかを使用すると、ユーザーの選択ウィンドウがサイト コレクション内のアクセス許可を持つユーザーのみを返すように強制できます。ただし、この制限を構成するために使用するプロパティは、テキスト ボックス (ユーザー エディター) および [名前の確認] ボタンと [ユーザーとグループの選択] ダイアログ ボックスのどちらに対して制限を設定するかによって異なります。

[名前の確認] ボタンをクリックしたときにユーザー選択ウィンドウがサイト コレクション内のアクセス許可を持つユーザーのみを返すように強制するには、次のコマンドを入力します。

stsadm -o setproperty –pn peoplepicker-Peopleeditoronlyresolvewithinsitecollection –pv yes –url <Web アプリケーションの URL>

[ユーザーとグループの選択] ダイアログ ボックスを使用したときにユーザー選択ウィンドウがサイト コレクション内のアクセス許可を持つユーザーのみを返すように強制するには、 次のコマンドを入力します。

stsadm -o setproperty –pn peoplepicker-onlysearchwithinsitecollection –pv yes –url <Web アプリケーションの URL>

詳細については、「Peoplepicker-onlysearchwithinsitecollection : Stsadm プロパティ」(https://technet.microsoft.com/ja-jp/library/cc261988(office.12).aspx) および「Peoplepicker-peopleeditoronlyresolvewithinsitecollection: Stsadm プロパティ (SharePoint Server 2010)」を参照してください。

LDAP クエリを使用して Active Directory アカウントをフィルターする

ライトウェイト ディレクトリ アクセス プロトコル (LDAP) クエリを使用すると、クエリ結果を表示するためのカスタム フィルターを作成できます。LDAP クエリの詳細については、「LDAP Query Basics (英語)」(https://go.microsoft.com/fwlink/?linkid=207670&clcid=0x411) を参照してください。

カスタム LDAP クエリを使用するには、次のコマンドを入力します。

Stsadm –o setproperty –pn peoplepicker-searchadcustomfilter -pv <LDAP クエリ フィルター> -url <Web アプリケーションの URL>

次の例では、電子メール アドレスがないユーザー アカウントまたは無効になっているユーザー アカウントを除外します。セキュリティ グループには常に電子メール アドレスが関連付けられませんが、それでもクエリ結果にセキュリティ グループが含まれるように、ここでは OR ステートメントが使用されています。

stsadm -o setproperty -pn peoplepicker-searchadcustomfilter -pv "(|(&(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))(objectcategory=group))" -url https://ServerName

次の例では、グループは返さずにアクティブなユーザーのみを返します。

stsadm -o setproperty -pn peoplepicker-searchadcustomfilter -pv "(&(objectCategory=person)(objectClass=user)(!userAccountControl:1.2.840.113556.1.4.803:=2))" -url https://ServerName

このクエリで使用されているユーザー アカウント制御文字列の詳細については、「Search Filter Syntax (英語)」(https://go.microsoft.com/fwlink/?linkid=210020&clcid=0x411) を参照してください。

次の例では、役職が "Manager" である Active Directory ユーザーのリストを返します。

stsadm -o setproperty -pn peoplepicker-searchadcustomfilter -pv "((Title=Manager))" -url https://ServerName

重要

特定のプロパティに対して setproperty コマンドを実行するたびに、そのプロパティの現在の値が指定した新しい値によって上書きされます。複数の条件に基づいてクエリ結果をフィルターする必要がある場合は、フィルター対象の値をすべて含む複合 LDAP クエリを作成する必要があります。

詳細については、「Peoplepicker-searchadcustomfilter : Stsadm プロパティ」(https://technet.microsoft.com/ja-jp/library/cc263452(office.12).aspx) を参照してください。

Active Directory 以外のユーザー アカウントのみを返す

Web アプリケーションでフォーム ベース認証を使用する場合は、ユーザーの選択ウィンドウがクエリ結果で Active Directory アカウントを返すのを防ぐことができます。

Active Directory 以外のユーザー アカウントのみを返すには、次のコマンドを入力します。

stsadm -o setproperty -pn peoplepicker-nowindowsaccountsfornonwindowsauthenticationmode -pv yes -url <Web アプリケーションの URL>

詳細については、「Peoplepicker-nowindowsaccountsfornonwindowsauthenticationmode : Stsadm プロパティ」(https://technet.microsoft.com/ja-jp/library/cc263264(office.12).aspx) を参照してください。

See Also

Other Resources

リソース センター: Security and Authentication for SharePoint Server 2010