Sélecteur de personnes de SharePoint arrête la résolution d’utilisateurs d’autres domaines à approbation unidirectionnelle après l’installation de SP2


Symptômes


Sur SharePoint les utilisateurs du site à partir d’autres domaines ne pas de résoudre dans le sélecteur de personnes.
Vous recevez le message d’erreur « Aucune correspondance »

Avec l’installation de SP2, soudainement le sélecteur de personnes résolvait non utilisateurs d’autres domaines même si l’approbation à sens unique a été activée.

Cause


La batterie de serveurs SharePoint a été récemment mis à niveau vers SP2 et que cela modifie la fonctionnalité peoplepicker pour respecter la propriété peoplepicker-searchadforests.

SP2 met en œuvre les fonctionnalités de sécurité en ce qui concerne le sélecteur de personnes et de la propriété peoplepicker-searchadforests.

Résolution


Vous devez définir la propriété peoplepicker-searchadforests pour chaque domaine approuvé à sens unique à partir d’un point de vue de Sharepoint. La commande suivante a été remise pour que les utilisateurs de recherche peoplepicker dans tous les domaines qui sont dans une relation d’approbation avec le domaine local de sharepoint

stsadm -o setproperty - propertyname peoplepicker-searchadforests

Détails pour sélectionner des personnes et des groupes à partir de plusieurs forêts sont disponibles dans http://technet.microsoft.com/en-us/library/cc263460(office.12).aspx.

Utilisez cette procédure pour activer la sélection des personnes et des groupes à partir de plusieurs forêts ou les domaines qui ont une relation d’approbation à sens unique à partir de la batterie de serveurs.

Activer la sélection des personnes et des groupes à partir de plusieurs forêts

Si vous souhaitez effectuer une recherche à partir d’une forêt approuvée à sens unique ou à un domaine de confiance à sens unique, vous devez exécuter l’opération setapppassword .

Sur chaque serveur Web frontal sur une batterie de serveurs, à une invite de commandes, tapez la commande suivante et appuyez sur ENTRÉE :

STSADM.exe -o setapppassword-clé de mot de passe

La syntaxe pour l’opération setproperty est :

stsadm -o setproperty

-propertyname peoplepicker-searchadforests

-propertyvalue < liste valide des forêts ou des domaines >

[-url] < URL >


EXEMPLE :

SharePoint est dans le domaine de xyz. Les utilisateurs du domaine Contoso doivent être résolue à partir du sélecteur de personnes. Il existe une approbation à sens unique entre le domaine xyz (domaine de ressources) et Contoso (domaine de l’utilisateur), où xyz approbations Contoso c'est-à-dire Contoso les utilisateurs peuvent accéder aux ressources xyz comme versa SharePoint mais pas inversement.

Nous avons besoin exécuter

stsadm -o setproperty-url http://<server:port> ; - pn peoplepicker-searchadforests - pv « forest:contoso.corp.com, contoso\ < compte >, < mot de passe > ; domain:bar.contoso.corp.com, contoso\ < compte >, < mot de passe > »

Ici < LoginName >, < mot de passe > » fait référence à un compte avec des autorisations de lecture pour le domaine de l’utilisateur. Il est généralement un compte d’utilisateur du domaine trusted(user), par exemple contoso\account.

S’il existe plusieurs domaines à partir de laquelle les utilisateurs doivent être résolus, ils doivent être entrés dans une commande stsadm unique et pas séparé.

par exemple, si vous avez 2 domaines contoso et abc à partir de laquelle les utilisateurs doivent être résolus.

Façon correcte - commande stsadm unique
========
stsadm -o setproperty-url http://<server:port> ; - pn peoplepicker-searchadforests - pv « forest:contoso.corp.com, contoso\ < compte >, < mot de passe > domain:bar.contoso.corp.com, contoso\ < compte >, < mot de passe > forest:abc.corp.com, abc\ < compte >, < mot de passe > ; domain:bar.abc.corp.com, abc\ < compte >, < mot de passe > »

Mauvaise façon - plusieurs commandes stsadm
==============
stsadm -o setproperty-url http://<server:port> ; - pn peoplepicker-searchadforests - pv « forest:contoso.corp.com, contoso\ < compte >, < mot de passe > ; domain:bar.contoso.corp.com, contoso\ < compte >, < mot de passe > »
stsadm -o setproperty-url http://<server:port> ; - pn peoplepicker-searchadforests - pv « forest:abc.corp.com, abc\ < compte >, < mot de passe > ; domain:bar.abc.corp.com, abc\ < compte >, < mot de passe > »

La deuxième commande stsadm qui définit la propriété de domaine d’abc doit désactiver la propriété pour le domaine Contoso. Par conséquent, les utilisateurs du domaine Contoso seront résolus n’est plus dans le sélecteur de personnes

Plus d'informations


PeoplePicker checknames respecte la propriété peoplepicker-searchadforests après le Service Pack 2. Cela n’était pas le cas avant SP2.
Après SP2 vous ne serez pas en mesure d’utilisateurs de la recherche dans le domaine externe qui se trouve dans une relation d’approbation unidirectionnelle avec le domaine local de sharepoint.

Avant le SP2, la fonction Peoplepicker Checknames ne respectait pas la propriété peoplepicker-searchadforests. Les utilisateurs peuvent être résolus à partir d’autres domaines, même s’il y a uniquement une approbation à sens unique.

Checknames utilisé LSAT et LDAP pour rechercher et afficher une correspondance avant génération 12.0000.6520.5000 comme décrit dans KB976396 : http://support.microsoft.com/kb/976396.

Checknames pouvez utiliser les méthodes de « LSAT » (traduction d’autorité de sécurité locale) pour résoudre les noms de domaines Windows NT 4.0 et les autres domaines Active Directory connecté au domaine local SharePoint.