人员选取器概述 (SharePoint Server 2010)

适用于： SharePoint Foundation 2010, SharePoint Server 2010

上一次修改主题： 2016-11-30

当网站、列表或库所有者在 Microsoft SharePoint Server 2010 中分配权限时，可以使用人员选取器控件来查找并选择人员、组和声明。本文介绍人员选取器控件及其工作原理，人员选取器与身份验证和声明提供程序的关系，以及如何规划人员选取器。有关如何配置人员选取器的信息，请参阅配置人员选取器 (SharePoint Server 2010)。

在阅读本文之前，您应了解规划身份验证方法 (SharePoint Server 2010) 和声明的作用（该链接可能指向英文页面） (https://go.microsoft.com/fwlink/?linkid=208326&clcid=0x804)（该链接可能指向英文页面） 中介绍的概念。有关基于声明的身份验证的详细信息，请参阅 SharePoint 基于声明的标识 (https://go.microsoft.com/fwlink/?linkid=196647&clcid=0x804)。

本文内容：

• 用法和好处

• 体系结构

• 关于人员选取器控件

• 人员选取器和身份验证

• 人员选取器与声明提供程序

• 配置人员选取器

• 对多个林或域使用人员选取器

• 人员选取器的注意事项

用法和好处

人员选取器控件可用于选择用户、组和声明，以便向列表、库和网站等项目授予权限。例如，您的网站包含一个文档库，您只希望一组特定用户能够查看该文档库。在使用库权限页为该库提供用户权限级别时，可以使用人员选取器控件键入用户名并验证用户帐户是否有效，也可以使用该控件搜索名称或部分字符串，并返回与输入值匹配的用户、组或声明的列表。有关权限的详细信息，请参阅规划网站权限 (SharePoint Server 2010)。

体系结构

人员选取器控件是 SharePoint Server 2010 的重要组件。该控件具有查找并选择用户、组和声明，以便在网站中分配权限的基本功能。这些用户、组和声明的确切来源取决于包含该网站集的 Web 应用程序使用的身份验证方法。有关身份验证方法的详细信息，请参阅下文中的人员选取器和身份验证。

人员选取器通过 Stsadm setproperty 操作在服务器场的区域级别进行配置。通过配置该控件的设置，您可以筛选和限制在用户搜索用户、组或声明时显示的结果。这些设置适用于特定网站集中的每个网站。有关配置人员选取器的详细信息，请参阅配置人员选取器 (SharePoint Server 2010)。

在将 Web 应用程序配置为使用基于声明的身份验证时，人员选取器将在“选择人员和组”对话框中使用声明提供程序来解析及显示用户、组和声明。“选择人员和组”对话框中显示的信息取决于为 Web 应用程序配置的身份验证方法使用的声明提供程序。有关声明提供程序的详细信息，请参阅人员选取器的自定义声明提供程序 (SharePoint Server 2010)。

关于人员选取器控件

人员选取器控件由一个文本框和两个按钮组成：“检查名称”按钮和“浏览”按钮。下图显示了人员选取器控件的一个示例。

用户在文本框中键入用户名、组名或声明（例如电子邮件地址），然后单击“检查名称”按钮，从而完全按照输入的形式解析搜索项。如果人员选取器能够解析搜索项，则该名称会替换为已解析的标识。如果不能完全按照输入的形式解析搜索项，则人员选取器会执行搜索。如果找不到匹配项，或者找到多个匹配项，则搜索项下面会显示一条红色下划线，并且出现以下错误消息：“未找到完全匹配项。请单击未解析的项目以获取更多选项。”在单击项后，弹出菜单将显示一个与查询匹配的可用用户、组或声明的列表（如果适用）。该菜单还包含一个“删除”按钮和一个“更多名称”按钮，前者用于从文本框中删除已解析的用户、组或声明，后者用于打开“选择人员和组”对话框。

如果用户单击“浏览”按钮，则会显示“选择人员和组”对话框。用户在文本框中键入完整或部分用户名、组名或声明，然后按 Enter。查询结果将显示在该对话框中。与人员选取器交互的声明提供程序将确定查询结果以及这些结果在对话框中的显示方式。用户选择已解析的标识，单击“添加”，然后单击“确定”。所选用户、组或声明随后会添加到人员选取器控件内的文本框中。

在将 Web 应用程序配置为使用 Windows 身份验证时，可以使用 Stsadm setproperty 操作更改人员选取器控件的设置，以限制在“选择人员和组”对话框中对用户显示的结果。例如，可以将人员选取器配置为仅返回属于某个 Active Directory 域或者是特定网站集的成员的用户、组和声明。有关配置人员选取器控件的详细信息，请参阅配置人员选取器 (SharePoint Server 2010)。

人员选取器和身份验证

人员选取器依赖于包含网站集的 Web 应用程序使用的身份验证方法，它通过该方法查询确定对用户显示的结果。如果将 Web 应用程序配置为使用经典模式的 Windows 身份验证，则 SharePoint Server 2010 会将用户帐户视为 Active Directory 域服务 (AD DS) 帐户。如果将 Web 应用程序配置为使用基于声明的身份验证，则可以指定是使用 Windows 身份验证、基于表单的身份验证 (FBA)，还是使用基于安全声明标记语言 (SAML) 令牌的身份验证。在声明模式中，人员选取器基于为 Web 应用程序和区域使用的身份验证方法指定的声明提供程序，搜索和解析查询。以下各节介绍使用经典模式身份验证和基于声明的身份验证时的人员选取器行为。有关区域和身份验证的详细信息，请参阅规划身份验证方法 (SharePoint Server 2010)。

经典模式身份验证

在使用 Windows 经典模式身份验证时，人员选取器控件可查询 Active Directory 以检索与在文本框中键入的搜索项匹配的用户、组或声明的列表。您可以使用轻型目录访问协议 (LDAP) 查询将人员选取器配置为查询 Active Directory，这样您就可以应用自定义 Active Directory 筛选器，限制搜索查询的范围，以及跨林和跨域搜索。

默认情况下，在单击“浏览”按钮后，“选择人员和组”对话框将显示以下字段：

• 显示名称

• 职务

• 部门

• 电子邮件

• 移动电话号码

• 帐户名

下图显示了在经典模式下对 Web 应用程序使用 Windows 身份验证时的“选择人员和组”对话框。

有关经典模式身份验证的详细信息，请参阅规划身份验证方法 (SharePoint Server 2010)。有关如何创建使用经典模式身份验证的 Web 应用程序的信息，请参阅创建使用 Windows 经典身份验证的 Web 应用程序 (SharePoint Server 2010)。

基于声明的身份验证

在使用基于声明的身份验证时，人员选取器使用为 Web 应用程序和区域采用的身份验证方法指定的声明提供程序，检索与在文本框中键入的搜索项匹配的用户、组或声明的列表。有关声明模式身份验证和区域的详细信息，请参阅规划身份验证方法 (SharePoint Server 2010)。

默认情况下，在单击“浏览”按钮后，“选择人员和组”对话框左侧将显示一个树视图，列出人员选取器将查询的声明提供程序。该对话框右侧是显示查询结果的位置。在使用基于声明的身份验证时，结果会显示在以下两个视图中的其中一个视图中：“详细视图”或“列表视图”。默认情况下显示“详细视图”。

下图显示了在声明模式下对 Web 应用程序使用 Windows 身份验证时的“选择人员和组”对话框。

在“详细视图”中，查询结果按找到查询结果的来源进行分组。例如，如果在 SharePoint 组和 Active Directory 中找到搜索项，则会将这些结果依次组织到 SharePoint 组列表、Active Directory 用户和组的列表中。

在“列表视图”中，将在包含以下字段的列表中返回查询结果：

• 显示名称

• 电子邮件地址

• 职务

• 部门

• 联机状态

• 单位电话

• 位置

您可以编写自定义声明提供程序来控制显示的信息，以及为了响应人员选取器控件的查询而返回的结果。在服务器上注册自定义声明提供程序时，还可以将其配置为用于特定 Web 应用程序和区域。这意味着仅为一个区域配置的自定义声明提供程序只显示在该区域中的网站的“选择人员和组”对话框中。有关自定义声明提供程序的详细信息，请参阅人员选取器的自定义声明提供程序 (SharePoint Server 2010)。

默认情况下，在使用基于 SAML 令牌的身份验证时，无论在文本框中输入的所有查询项是否是有效用户或组，它们都会自动显示，就像已得到解析一样。如果 SharePoint Server 2010 解决方案将使用基于 SAML 令牌的身份验证，则应计划创建自定义声明提供程序来实现自定义搜索、名称解析和列表功能。有关自定义声明提供程序的详细信息，请参阅人员选取器的自定义声明提供程序 (SharePoint Server 2010)。

有关如何创建使用声明模式身份验证的 Web 应用程序的信息，请参阅创建使用 Windows 声明身份验证的 Web 应用程序 (SharePoint Server 2010)。有关为 Web 应用程序配置基于声明的身份验证的信息，请参阅配置声明身份验证 (SharePoint Server 2010)。

人员选取器与声明提供程序

在使用基于声明的身份验证时，声明提供程序可在人员选取器中列出、解析及搜索用户、组和声明，并确定它们的“友好”显示。如果您的 Web 应用程序使用基于声明的身份验证，则必须确定是使用其中一个默认声明提供程序，还是创建一个满足组织业务需求的自定义声明提供程序。

有关声明提供程序如何与人员选取器控件建立联系的详细信息，请参阅人员选取器的自定义声明提供程序 (SharePoint Server 2010)。

配置人员选取器

本节中的信息仅适用于使用经典模式或声明模式的 Windows 身份验证的 Web 应用程序。

您可以通过使用 Stsadm setproperty 操作的属性名称来配置人员选取器，以筛选查询结果，并限制人员选取器用作这些结果来源的目录。若要查看配置了哪些属性设置，请使用 Stsadm getproperty 操作。有关详细信息，请参阅 Peoplepicker：Stsadm 属性 (Office SharePoint Server 2007)。人员选取器的设置适用于 Web 应用程序的各个 URL 区域。

下表介绍可用于配置人员选取器的属性。

有关配置人员选取器的详细信息，请参阅配置人员选取器 (SharePoint Server 2010)。

对多个林或域使用人员选取器

默认情况下，人员选取器只从安装 SharePoint Server 2010 的域返回用户、组和声明。如果希望人员选取器从多个林或域返回查询结果，则必须在林或域之间建立双向信任，或者必须将人员选取器配置为对林和域之间的单向信任使用加密帐户和密码。有关信任的详细信息，请参阅管理信任 (https://go.microsoft.com/fwlink/?linkid=207573&clcid=0x804)。

若要针对单向信任配置人员选取器，必须先使用 Stsadm setapppassword 操作设置用于受信任的林或域的密码，然后使用 setproperty 操作的 Peoplepicker-searchadforests 属性指定要搜索的林或域。请记住，人员选取器的设置按 Web 应用程序的区域进行配置，因此如果服务器场中有多个林或域，则必须将帐户和密码组合为一个 setproperty 操作命令。有关详细信息，请参阅 Peoplepicker-searchadforests：Stsadm 属性 (Office SharePoint Server)。

人员选取器的注意事项

人员选取器的规划很大程度上取决于您希望用户能够查询的林和域，以及您希望显示在查询结果中的用户、组和声明。在规划希望用户查询的林和域时，请考虑以下问题：

• 用户是否需要跨林或跨域查询？

• 您希望用户查询的各个林或域的 DNS 名称是什么？

• 您的林或域与其他林或域之间是单向信任还是双向信任？

• 如果要使用单向信任，那么哪些凭据将用于查询其他服务器场或域？

对要显示在人员选取器的查询结果中的用户、组和声明进行规划，将有助于您确定如何将人员选取器配置为从声明提供程序返回并显示结果。在规划要显示在查询结果中的用户、组和声明时，请考虑以下问题：

• 是否有要应用于查询结果的特定 LDAP 筛选器？

• 是否要将查询结果限制为特定网站集中的用户、组或声明？

• 是否要将查询结果限制为特定 Active Directory 组织单位 (OU) 中的用户、组或声明？

See Also

Concepts

规划身份验证方法 (SharePoint Server 2010)
人员选取器的自定义声明提供程序 (SharePoint Server 2010)
配置人员选取器 (SharePoint Server 2010)