Configurer le sélecteur de personnes (SharePoint Foundation 2010)
S’applique à : SharePoint Foundation 2010
Dernière rubrique modifiée : 2016-11-30
Le sélecteur de personnes est configuré au niveau de la zone pour une batterie de serveurs en utilisant l’opération Stsadm setproperty. En configurant les paramètres du contrôle, vous pouvez filtrer et restreindre les résultats affichés lorsqu’un utilisateur recherche un utilisateur, un groupe ou une revendication. Ces paramètres s’appliqueront à chaque site dans la collection de sites.
Les informations de cet article s’appliquent uniquement aux applications Web qui utilisent l’authentification Windows en mode classique ou en mode de revendications.
Le sélecteur de personnes permet de rechercher et sélectionner des utilisateurs, des groupes et des revendications lorsqu’un propriétaire de site, de liste ou de bibliothèque accorde des autorisations dans Microsoft SharePoint Foundation 2010. Le sélecteur de personnes est configuré au niveau de la zone pour une batterie de serveurs en utilisant l’opération Stsadm setproperty. En configurant les paramètres du contrôle, vous pouvez filtrer et restreindre les résultats affichés lorsqu’un utilisateur recherche un utilisateur, un groupe ou une revendication. Ces paramètres s’appliqueront à chaque site dans la collection de sites. Pour plus d’informations sur les propriétés du sélecteur de personnes, voir Peoplepicker : propriétés Stsadm.
Notes
Il n’existe aucune commande Windows PowerShell pour configurer le sélecteur de personnes.
Cet article explique comment configurer le sélecteur de personnes pour des scénarios spécifiques. Pour plus d’informations sur le sélecteur de personnes, son fonctionnement, ses relations avec les fournisseurs d’authentification et de revendications, et sur sa planification, voir Présentation du sélecteur de personnes (SharePoint Foundation 2010).
Avant d’effectuer les procédures de cet article, vous devez effectuer les opérations suivantes :
Vérifiez que le compte que vous utilisez pour exécuter Stsadm est membre du groupe Administrateurs local sur le serveur où SharePoint Foundation 2010 est installé.
Ouvrez une fenêtre d’invite de commandes en tant qu’administrateur pour effectuer les procédures décrites dans cet article.
Depuis l’invite de commandes sur le lecteur où SharePoint Foundation 2010 est installé, accédez au répertoire suivant : %COMMONPROGRAMFILES%\Microsoft shared\Web server extensions\14\Bin.
Dans cet article :
Vérifier la valeur de chaque propriété
Effacer la valeur d'une propriété du sélecteur de personnes
Définir une clé de chiffrement à utiliser avec une approbation à sens unique
Permettre les requêtes sur plusieurs forêts ou domaines avec une approbation à sens unique
Restreindre le sélecteur de personnes sur un certain groupe dans Active Directory
Définir l'emplacement des comptes administrateurs
Forcer le sélecteur de personnes à choisir uniquement parmi les utilisateurs dans la collection de sites
Filtrer les comptes Active Directory en utilisant des requêtes LDAP
Retourner uniquement des comptes d’utilisateurs qui ne sont pas Active Directory
Vérifier la valeur de chaque propriété
Pour vérifier la valeur d’une propriété du sélecteur de personnes, tapez la commande suivante :
stsadm.exe -o getproperty -pn <Nom propriété> -url <URL application Web>
Pour plus d’informations, voir Peoplepicker : propriétés Stsadm (https://technet.microsoft.com/fr-fr/library/cc263318(office.12).aspx).
Effacer la valeur d’une propriété du sélecteur de personnes
Vous pouvez supprimer la définition d’une propriété du sélecteur de personnes en spécifiant le nom de la propriété à effacer et en utilisant des guillemets vides comme valeur.
Pour supprimer la valeur d’une propriété du sélecteur de personnes, tapez la commande suivante :
stsadm.exe -o setproperty -pn <Nom propriété> -pv "" -url <URL application Web>
Pour plus d’informations, voir Peoplepicker-searchadforests : propriété Stsadm (https://technet.microsoft.com/fr-fr/library/cc263460(office.12).aspx).
Définir une clé de chiffrement à utiliser avec une approbation à sens unique
Si la forêt ou le domaine sur lequel SharePoint Foundation 2010 est installé a une approbation à sens unique avec un autre domaine ou forêt, vous devez d’abord définir les informations d’identification d’un compte autorisé à s’authentifier sur la forêt ou le domaine à interroger pour pouvoir utiliser la propriété Stsadm peoplepicker-searchadforests.
Notes
La clé de chiffrement doit être définie sur chaque serveur Web frontal de la batterie de serveurs où SharePoint Foundation 2010 est installé.
Pour définir une clé de chiffrement, tapez la commande suivante :
stsadm.exe -o setapppassword -password <clé>
Pour plus d’informations sur l’interrogation de forêts ou domaines supplémentaires, voir Tout ce que vous souhaitez savoir sur le sélecteur de personnes de SharePoint (Fonctionnalité | Configuration | Dépannage) Partie 2 (éventuellement en anglais) (https://go.microsoft.com/fwlink/?linkid=207666&clcid=0x40C) (éventuellement en anglais).
Permettre les requêtes sur plusieurs forêts ou domaines avec une approbation à sens unique
Si la forêt ou le domaine où SharePoint Foundation 2010 est installé a une approbation à sens unique avec un autre domaine ou forêt, vous devez spécifier les informations d’identification à utiliser pour interroger la forêt ou le domaine, ainsi que les noms des forêts ou domaines à interroger. Le sélecteur de personnes interrogera uniquement les forêts ou domaines que vous spécifiez dans la définition de la propriété peoplepicker-searchadforests.
Pour spécifier les forêts ou domaines à interroger avec les informations d’identification, tapez la commande suivante :
stsadm.exe -o setproperty -pn peoplepicker-searchadforests -pv <Liste valide de forêts ou domaines, Nom de connexion, Mot de passe> -url <URL application Web>
Notes
Il est inutile d’inclure le mot de passe de clé de chiffrement que vous avez attribué au compte lorsque vous utilisez la propriété peoplepicker-searchadforests. Cependant, si vous n’avez pas encore défini de clé de chiffrement pour le compte, un message d’erreur s’affichera.
L’exemple suivant configure le sélecteur de personnes à utiliser avec une forêt nommée Contoso.com et un domaine nommé Fabrikam.com, et inclut les informations d’identification pour chacun :
STSADM.exe -o setproperty -pn peoplepicker-searchadforests -pv "forest:Contoso.com,Contoso\User1,Password1; domain:Fabrikam.com,Fabrikam\User2,Password2" -url https://ServerName
Pour plus d’informations, voir Peoplepicker-searchadforests : propriété Stsadm (https://technet.microsoft.com/fr-fr/library/cc263460(office.12).aspx).
Restreindre le sélecteur de personnes sur un certain groupe dans Active Directory
Si une application Web utilise l’authentification Windows et que le chemin d’accès au répertoire utilisateur du site n’est pas défini, le sélecteur de personnes recherche sur Active Directory entier pour résoudre les noms des utilisateurs ou retrouver des utilisateurs, au lieu de rechercher des utilisateurs uniquement dans une unité d’organisation particulière. L’opération Stsadm setsiteuseraccountdirectorypath permet de définir le chemin d’accès au répertoire utilisateur avec une unité d’organisation spécifique dans le même domaine. Une fois le chemin d’accès au répertoire défini dans la collection de sites, le sélecteur de personnes recherchera uniquement dans cette unité d’organisation particulière.
Pour restreindre le sélecteur de personnes à une certaine unité d’organisation (UO) dans Active Directory, tapez la commande suivante :
stsadm -o setsiteuseraccountdirectorypath -path <Nom UO valide> –url <URL application Web>
L’exemple suivant configure le sélecteur de personnes afin de retourner uniquement des utilisateurs et des groupes de l’unité d’organisation nommée Sales (Ventes) :
stsadm -o setsiteuseraccountdirectorypath -path "OU=Sales,DC=ContosoCorp,DC=local" -url https://ServerName
Notes
Comme cette propriété ne spécifie qu’une unité d’organisation à la fois, vous ne devez exécuter l’opération Stsadm setsiteuseraccountdirectorypath qu’une seule fois par collection de sites. Pour définir plusieurs unités d’organisation à la fois, utilisez la propriété Stsadm Peoplepicker-serviceaccountdirectorypaths.
Pour plus d’informations, voir Setsiteuseraccountdirectorypath : opération Stsadm (https://technet.microsoft.com/fr-fr/library/cc263328(office.12).aspx).
Définir l’emplacement des comptes administrateurs
Les comptes utilisateurs d’administration sont souvent dans une unité d’organisation différente de celle des utilisateurs normaux du site. Si vous avez utilisé l’opération Stsadm setsiteuseraccountdirectorypath pour forcer le sélecteur de personnes à ne retourner que des résultats de requête à partir d’une unité d’organisation spécifique, vous devez également définir la propriété Stsadm peoplepicker-serviceaccountdirectorypaths afin que l’administrateur puisse gérer la collection de sites.
Notes
Pour que la propriété peoplepicker-serviceaccountdirectorypaths puisse fonctionner, l’opération Setsiteuseraccountdirectorypath doit être définie et contenir une valeur.
Pour définir l’emplacement des comptes administrateurs, tapez la commande suivante :
Stsadm -o setproperty -pn peoplepicker-serviceaccountdirectorypaths -pv <Liste de noms d’UO> -url <URL application Web>
L’exemple suivant configure le sélecteur de personnes pour autoriser des utilisateurs de la même unité d’organisation nommée FarmAdmin :
stsadm -o setproperty -pn peoplepicker-serviceaccountdirectorypaths -pv "OU=FarmAdmin,DC=Contoso,DC=local" -url https://ServerName
Pour plus d’informations, voir Peoplepicker-serviceaccountdirectorypaths : propriété Stsadm (https://technet.microsoft.com/fr-fr/library/cc263012(office.12).aspx).
Forcer le sélecteur de personnes à choisir uniquement parmi les utilisateurs dans la collection de sites
Le sélecteur de personnes comprend une zone de texte et deux boutons : Vérifier les noms et Parcourir. Le bouton Vérifier les noms permet de résoudre un nom d’utilisateur, un nom de groupe ou une adresse de messagerie exactement comme si cela avait été tapé dans la zone de texte. Le bouton Parcourir ouvre la boîte de dialogue Sélectionner des personnes et des groupes, qui permet de soumettre une requête sur une chaîne complète ou partielle. La différence importante entre les deux boutons est que Vérifier les noms ne résout que le contenu exact de la zone de texte, tandis que la boîte de dialogue Sélectionner des personnes et des groupes recherche la chaîne de requête. Vous pouvez forcer le sélecteur de personnes à ne retourner que des utilisateurs ayant des autorisations sur la collection de sites en utilisant soit la propriété PeoplePicker-Peopleeditoronlyresolvewithinsitecollection, soit la propriété PeoplePicker-Onlysearchwithinsitecollection. Cependant, la propriété que vous utilisez pour configurer cette restriction dépend de la cible pour laquelle vous définissez la restriction, c’est-à-dire la zone de texte (éditeur de personnes) et le bouton Vérifier les noms, ou la boîte de dialogue Sélectionner des personnes et des groupes.
Pour forcer le sélecteur de personnes à ne retourner que des utilisateurs ayant des autorisations sur la collection de sites lorsqu’on clique sur le bouton Vérifier les noms, tapez la commande suivante :
stsadm -o setproperty –pn peoplepicker-Peopleeditoronlyresolvewithinsitecollection –pv yes –url <URL application Web>
Pour forcer le sélecteur de personnes à ne retourner que des utilisateurs ayant des autorisations sur la collection de sites lorsqu’on utilise la boîte de dialogue Sélectionner des personnes et des groupes, tapez la commande suivante :
stsadm -o setproperty –pn peoplepicker-onlysearchwithinsitecollection –pv yes –url <URL application Web>
Pour plus d’informations, voir Peoplepicker-onlysearchwithinsitecollection : propriété Stsadm (https://technet.microsoft.com/fr-fr/library/cc261988(office.12).aspx) et Peoplepicker-peopleeditoronlyresolvewithinsitecollection : propriété Stsadm (SharePoint Foundation 2010).
Filtrer les comptes Active Directory en utilisant des requêtes LDAP
Vous pouvez utiliser une requête LDAP (Lightweight Directory Access Protocol) afin de créer un filtre personnalisé pour l’affichage des résultats de requête. Pour plus d’informations sur les requêtes LDAP, voir Notions de base sur les requêtes LDAP (éventuellement en anglais) (https://go.microsoft.com/fwlink/?linkid=207670&clcid=0x40C) (éventuellement en anglais).
Pour utiliser une requête LDAP personnalisée, tapez la commande suivante :
Stsadm –o setproperty –pn peoplepicker-searchadcustomfilter -pv <Filtre de requête LDAP> -url <URL application Web>
L’exemple suivant filtre les comptes utilisateurs sans adresse de messagerie ou désactivés. Comme les groupes de sécurité n’ont pas toujours une adresse de messagerie associée, une instruction OR est utilisée afin que les groupes de sécurité soient toujours inclus dans les résultats de requête :
stsadm -o setproperty -pn peoplepicker-searchadcustomfilter -pv "(|(&(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))(objectcategory=group))" -url https://ServerName
L’exemple suivant retourne uniquement les utilisateurs actifs, et pas les groupes :
stsadm -o setproperty -pn peoplepicker-searchadcustomfilter -pv "(&(objectCategory=person)(objectClass=user)(!userAccountControl:1.2.840.113556.1.4.803:=2))" -url https://ServerName
Pour une explication de la chaîne de de contrôle du compte utilisateur utilisée dans cette requête, voir Syntaxe de filtre de recherche (éventuellement en anglais) (https://go.microsoft.com/fwlink/?linkid=210020&clcid=0x40C) (éventuellement en anglais).
L’exemple suivant retourne une liste d’utilisateurs Active Directory ayant le titre « Manager » :
stsadm -o setproperty -pn peoplepicker-searchadcustomfilter -pv "((Title=Manager))" -url https://ServerName
Important
Souvenez-vous que chaque fois que vous exécutez la commande setproperty pour une propriété spécifique, les valeurs actuelles de cette propriété sont remplacées par les valeurs que vous spécifiez. Si vous devez filtrer les résultats de requête en fonction de plusieurs critères, vous devez générer une requête LDAP composée qui inclut toutes les valeurs à filtrer.
Pour plus d’informations, voir Peoplepicker-searchadcustomfilter : propriété Stsadm (https://technet.microsoft.com/fr-fr/library/cc263452(office.12).aspx).
Retourner uniquement des comptes d’utilisateurs qui ne sont pas Active Directory
Si votre application Web utilise l’authentification basée sur les formulaires, vous pouvez empêcher le sélecteur de personnes de retourner des comptes Active Directory dans les résultats de requête.
Pour retourner uniquement des comptes utilisateurs qui ne sont pas Active Directory, tapez la commande suivante :
stsadm -o setproperty -pn peoplepicker-nowindowsaccountsfornonwindowsauthenticationmode -pv yes -url <URL application Web>
Pour plus d’informations, voir Peoplepicker-nowindowsaccountsfornonwindowsauthenticationmode : propriété Stsadm (https://technet.microsoft.com/fr-fr/library/cc263264(office.12).aspx).