Configurare la selezione utenti (SharePoint Server 2010)
Si applica a: SharePoint Foundation 2010, SharePoint Server 2010
Ultima modifica dell'argomento: 2016-11-30
La selezione utenti viene configurata a livello dell'area per una farm utilizzando l'operazione setproperty Stsadm. Configurando le impostazioni per il controllo, è possibile filtrare e limitare i risultati visualizzati quando un utente cerca un utente, un gruppo o un'attestazione. Tali impostazioni verranno applicate a ogni sito all'interno della raccolta siti.
Le informazioni contenute in questo articolo riguardano solo le applicazioni Web che utilizzano l'autenticazione Windows in modalità classica o in modalità attestazioni.
Il controllo di selezione utenti consente di trovare e selezionare utenti, gruppi e attestazioni quando il proprietario di un sito, un elenco o una raccolta assegna autorizzazioni in Microsoft SharePoint Server 2010. La selezione utenti viene configurata a livello dell'area per una farm utilizzando l'operazione setproperty Stsadm. Configurando le impostazioni per il controllo, è possibile filtrare e limitare i risultati visualizzati quando un utente cerca un utente, un gruppo o un'attestazione. Tali impostazioni verranno applicate a ogni sito all'interno della raccolta siti. Per ulteriori informazioni sulle proprietà della selezione utenti, vedere Peoplepicker: proprietà Stsadm.
Nota
Non sono disponibili comandi di Windows PowerShell per configurare la selezione utenti.
In questo articolo sono contenute informazioni sulla configurazione della selezione utenti per scenari specifici. Per ulteriori informazioni sul controllo di selezione utenti e sul suo funzionamento, la relazione con i provider di autenticazione e di attestazioni, e su come pianificare l'uso della selezione utenti, vedere Panoramica del controllo Selezione utenti (SharePoint Server 2010).
Per eseguire le procedure descritte in questo articolo, è necessario eseguire le operazioni seguenti:
Verificare che l'account utilizzato per eseguire Stsadm sia membro del gruppo di amministratori locale sul server in cui è installato SharePoint Server 2010.
Per eseguire le procedure descritte in questo articolo, aprire la finestra del prompt dei comandi come amministratore.
Nel prompt dei comandi per il driver in cui è installato SharePoint Server 2010, modificare la directory seguente: %COMMONPROGRAMFILES%\Microsoft shared\Web server extensions\14\Bin.
Contenuto dell'articolo:
Verificare il valore di impostazione per qualsiasi proprietà
Cancellare un valore di proprietà dalla selezione utenti
Impostare una chiave di crittografia da utilizzare con un trust unidirezionale
Consentire query tra foreste e tra domini con un trust unidirezionale
Limitare la selezione utenti a un determinato gruppo in Active Directory
Definire la posizione degli account di amministratore
Imporre alla selezione utenti la scelta solo tra gli utenti nella raccolta siti
Filtrare gli account Active Directory utilizzando query LDAP
Restituire solo account utente non di Active Directory
Verificare il valore di impostazione per qualsiasi proprietà
Per verificare l'impostazione per qualsiasi proprietà della selezione utenti, digitare il comando seguente:
stsadm.exe -o getproperty -pn <Nome proprietà> -url <URL applicazione Web>
Per ulteriori informazioni, vedere Peoplepicker: proprietà Stsadm (https://technet.microsoft.com/it-it/library/cc263318(office.12).aspx).
Cancellare un valore di proprietà dalla selezione utenti
È possibile rimuovere l'impostazione per una proprietà della selezione utenti specificando il nome della proprietà da cancellare e utilizzando virgolette vuote per il valore della proprietà.
Per rimuovere un'impostazione di proprietà dalla selezione utenti, digitare il comando seguente:
stsadm.exe -o setproperty -pn <Nome proprietà> -pv "" -url <URL applicazione Web>
Per ulteriori informazioni, vedere Peoplepicker-searchadforests: proprietà Stsadm (https://technet.microsoft.com/it-it/library/cc263460(office.12).aspx).
Impostare una chiave di crittografia da utilizzare con un trust unidirezionale
Se la foresta o il dominio in cui è installato SharePoint Server 2010 dispone di un trust unidirezionale con un'altra foresta o dominio, è necessario impostare prima le credenziali per un account che possa eseguire l'autenticazione con la foresta o il dominio in cui eseguire la query, prima di utilizzare la proprietà peoplepicker-searchadforests Stsadm.
Nota
La chiave di crittografia deve essere impostata su ogni server Web front-end della farm in cui è installato SharePoint Server 2010.
Per impostare una chiave di crittografia, digitare il comando seguente:
stsadm.exe -o setapppassword -password <chiave>
Per ulteriori informazioni sulle query in foreste o domini aggiuntivi, vedere Informazioni dettagliate sulla selezione utenti in SharePoint (funzionalità | configurazione | risoluzione dei problemi) Parte-2 (le informazioni potrebbero essere in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=207666&clcid=0x410) (le informazioni potrebbero essere in lingua inglese).
Consentire query tra foreste e tra domini con un trust unidirezionale
Se la foresta o il dominio in cui è installato SharePoint Server 2010 dispone di un trust unidirezionale con un'altra foresta o dominio, è necessario specificare le credenziali da utilizzare per eseguire query in tale foresta o dominio, oltre ai nomi delle foreste o dei domini in in cui eseguire la query. La selezione utenti consente di eseguire query solo nelle foreste o nei domini specificati nell'impostazione della proprietà peoplepicker-searchadforests.
Per specificare le foreste o i domini in cui eseguire la query insieme alle credenziali, digitare il comando seguente:
stsadm.exe -o setproperty -pn peoplepicker-searchadforests -pv <Elenco valido di foreste o domini, nome di accesso, password> -url <URL applicazione Web>
Nota
Non è necessario includere la password della chiave di crittografia assegnata all'account quando si utilizza la proprietà peoplepicker-searchadforests. Se tuttavia non è ancora stata impostata una chiave di crittografia per l'account, verrà visualizzato un messaggio di errore.
Nell'esempio seguente viene configurata la selezione utenti in modo da essere utilizzata con una foresta denominata Contoso.com e un dominio denominato Fabrikam.com, con le credenziali per entrambi:
STSADM.exe -o setproperty -pn peoplepicker-searchadforests -pv "forest:Contoso.com,Contoso\User1,Password1; domain:Fabrikam.com,Fabrikam\User2,Password2" -url https://ServerName
Per ulteriori informazioni, vedere Peoplepicker-searchadforests: proprietà Stsadm (https://technet.microsoft.com/it-it/library/cc263460(office.12).aspx).
Limitare la selezione utenti a un determinato gruppo in Active Directory
Se un'applicazione Web utilizza l'autenticazione Windows e il percorso della directory utente del sito non è impostato, il controllo di selezione utenti eseguirà una ricerca in tutto l'ambito di Active Directory per risolvere i nomi degli utenti o per trovare gli utenti, anziché cercare solo gli utenti in una determinata unità organizzativa. L'operazione Stsadm setsiteuseraccountdirectorypath consente di impostare il percorso della directory dell'utente su una specifica unità organizzativa nello stesso dominio. Dopo aver impostato il percorso della directory su una raccolta siti, il controllo di selezione utenti eseguirà la ricerca solo nella specifica unità organizzativa.
Per limitare la selezione utenti a una determinata unità organizzativa in Active Directory, digitare il comando seguente:
stsadm -o setsiteuseraccountdirectorypath -path <Nome valido unità organizzativa> –url <URL applicazione Web>
Nell'esempio seguente la selezione utenti viene configurata per restituire solo gli utenti e i gruppi dell'organizzazione denominata "Vendite":
stsadm -o setsiteuseraccountdirectorypath -path "OU=Sales,DC=ContosoCorp,DC=local" -url https://ServerName
Nota
Per una raccolta siti è possibile impostare un solo percorso di directory utente del sito alla volta. Poiché questa proprietà consente di specificare una sola unità organizzativa alla volta, è consigliabile eseguire l'operazione Stsadm setsiteuseraccountdirectorypath una sola volta per ogni raccolta siti.
Per ulteriori informazioni, vedere Setsiteuseraccountdirectorypath: operazione Stsadm (https://technet.microsoft.com/it-it/library/cc263328(office.12).aspx).
Definire la posizione degli account di amministratore
Gli account utente amministrativi si trovano spesso in un'unità organizzativa diversa rispetto ai normali utenti del sito. Se è stata utilizzata l'operazione Stsadm setsiteuseraccountdirectorypath per imporre alla selezione utenti di restituire solo risultati delle query da una specifica unità organizzativa, è necessario anche impostare la proprietà Stsadm peoplepicker-serviceaccountdirectorypaths in modo che l'amministratore possa gestire la raccolta siti.
Nota
Affinché la proprietà peoplepicker-serviceaccountdirectorypaths funzioni, è necessario impostare l'operazione Setsiteuseraccountdirectorypath in modo che contenga un valore.
Per definire la posizione degli account amministratore, digitare il comando seguente:
Stsadm -o setproperty -pn peoplepicker-serviceaccountdirectorypaths -pv <Elenco di nomi di unità organizzative> -url <URL applicazione Web>
Nell'esempio seguente la selezione utenti viene configurata per consentire gli utenti dell'organizzazione denominata "FarmAdmin":
stsadm -o setproperty -pn peoplepicker-serviceaccountdirectorypaths -pv "OU=FarmAdmin,DC=Contoso,DC=local" -url https://ServerName
Per ulteriori informazioni, vedere Peoplepicker-serviceaccountdirectorypaths: proprietà Stsadm (https://technet.microsoft.com/it-it/library/cc263012(office.12).aspx).
Imporre alla selezione utenti la scelta solo tra gli utenti nella raccolta siti
Il controllo di selezione utenti è costituito da una casella di testo e due pulsanti: ovvero Controlla nomi e Sfoglia. Il pulsante Controlla nomi consente di risolvere un nome utente, un nome di gruppo o un indirizzo di posta elettronica nel modo esatto in cui viene immesso nella casella di testo. Il pulsante Sfoglia consente di aprire la finestra di dialogo Seleziona utenti e gruppi, che può essere utilizzata per inviare una query per una stringa intera o parziale. La differenza sostanziale tra i due pulsanti è che il pulsante Controlla nomi consente di risolvere ciò che viene immesso nella casella di testo mentre la finestra di dialogo Seleziona utenti e gruppi consente di eseguire una ricerca per la stringa di query. Per imporre alla selezione utenti di restituire solo gli utenti che dispongono di autorizzazioni nella raccolta siti, è possibile utilizzare la proprietà PeoplePicker-Peopleeditoronlyresolvewithinsitecollection o la proprietà PeoplePicker-Onlysearchwithinsitecollection. In ogni caso, la proprietà utilizzata per configurare questa restrizione dipenderà dalla scelta di impostare la restrizione per la casella di testo (editor di selezione utenti) e il pulsante Controlla nomi, oppure per la finestra di dialogo Seleziona utenti e gruppi.
Per imporre alla selezione utenti di restituire solo gli utenti che dispongono di autorizzazioni nella raccolta siti quando si seleziona il pulsante Controlla nomi, digitare il comando seguente:
stsadm -o setproperty –pn peoplepicker-Peopleeditoronlyresolvewithinsitecollection –pv yes –url <URL applicazione Web>
Per imporre alla selezione utenti di restituire solo gli utenti che dispongono di autorizzazioni nella raccolta siti quando si utilizza la finestra di dialogo Seleziona utenti e gruppi, digitare il comando seguente:
stsadm -o setproperty –pn peoplepicker-onlysearchwithinsitecollection –pv yes –url <URL applicazione Web>
Per ulteriori informazioni, vedere Peoplepicker-onlysearchwithinsitecollection: proprietà Stsadm (https://technet.microsoft.com/it-it/library/cc261988(office.12).aspx) e Peoplepicker-peopleeditoronlyresolvewithinsitecollection: proprietà Stsadm (SharePoint Server 2010).
Filtrare gli account Active Directory utilizzando query LDAP
È possibile utilizzare una query LDAP (Lightweight Directory Access Protocol) per creare un filtro personalizzato per visualizzare i risultati della query. Per ulteriori informazioni sulle query LDAP, vedere Concetti di base delle query LDAP (le informazioni potrebbero essere in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=207670&clcid=0x410) (le informazioni potrebbero essere in lingua inglese).
Per utilizzare una query LDAP personalizzata, digitare il comando seguente:
Stsadm –o setproperty –pn peoplepicker-searchadcustomfilter -pv <Filtro query LDAP> -url <URL applicazione Web>
Nell'esempio seguente vengono esclusi gli account utente che non dispongono di un indirizzo di posta elettronica o che sono disabilitati. Poiché ai gruppi di sicurezza non sempre sono associati indirizzi di posta elettronica, viene utilizzata un'istruzione OR per garantire che i gruppi di sicurezza siano comunque inclusi nei risultati della query:
stsadm -o setproperty -pn peoplepicker-searchadcustomfilter -pv "(|(&(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))(objectcategory=group))" -url https://ServerName
Nell'esempio seguente vengono restituiti solo gli utenti attivi, escludendo i gruppi:
stsadm -o setproperty -pn peoplepicker-searchadcustomfilter -pv "(&(objectCategory=person)(objectClass=user)(!userAccountControl:1.2.840.113556.1.4.803:=2))" -url https://ServerName
Per una spiegazione della stringa di controllo dell'account utente utilizzata in questa query, vedere Sintassi del filtro di ricerca (le informazioni potrebbero essere in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=210020&clcid=0x410) (le informazioni potrebbero essere in lingua inglese).
L'esempio seguente restituisce un elenco di utenti Active Directory con mansione di "Manager":
stsadm -o setproperty -pn peoplepicker-searchadcustomfilter -pv "((Title=Manager))" -url https://ServerName
Importante
Ogni volta che si esegue il comando setproperty per una proprietà specifica, i valori correnti di tale proprietà verranno sovrascritti dai nuovi valori specificati. Se i risultati della query devono essere filtrati in base a più criteri, sarà necessario creare una query LDAP composta che include tutti i valori da filtrare.
Per ulteriori informazioni, vedere Peoplepicker-searchadcustomfilter: proprietà Stsadm (https://technet.microsoft.com/it-it/library/cc263452(office.12).aspx).
Restituire solo account utente non di Active Directory
Se l'applicazione Web utilizza l'autenticazione basata su moduli, è possibile impedire alla selezione utenti di restituire gli account di Active Directory tra i risultati della query.
Per restituire solo gli account utente non di Active Directory, digitare il comando seguente:
stsadm -o setproperty -pn peoplepicker-nowindowsaccountsfornonwindowsauthenticationmode -pv yes -url <URL applicazione Web>
Per ulteriori informazioni, vedere Peoplepicker-nowindowsaccountsfornonwindowsauthenticationmode: proprietà Stsadm (https://technet.microsoft.com/it-it/library/cc263264(office.12).aspx).
See Also
Other Resources
Centro Risorse: Sicurezza e autenticazione per SharePoint Server 2010