In diesem Blogbeitrag möchte ich gerne einmal auf den People Picker in SharePoint 2013 eingehen und welche Isolations-Szenarien, damit realisierbar sind. Eines vorweg der User Profile Sync Service hat nichts mit dem People Picker nichts zu tun. Der User Profile Sync Service ist u.a. für die Mysite zuständig, um dort die Berechtigung zu steuern.

Was ist eigentlich der People Picker und wie ist dieser standardmäßig konfiguriert?

Der People Picker ist das Werkzeug für die Suche der Domänen Benutzer im SharePoint, um diese dann wiederum zu berechtigen. Es können nicht nur Active Directories, sondern auch andere Dienste mit Benutzern durchsucht werden. In ganz herkömmlichen Farmen muss sich der Administrator oder Projektleiter keine Gedanken machen, wie der People Picker konfiguriert werden soll. Standardmäßig durchforstet er das AD in dem die Farm auch liegt. Es werden somit alle Benutzer im AD gefunden und können problemlos berechtigt werden.

Doch wann macht der People Picker Sinn? Weshalb brauche ich Ihn dann überhaupt? Welche Isolationsszenarien gibt es und wann machen diese Sinn?

Über den People Picker sollte nachgedacht werden, sobald auf der SharePoint Fam, Use Cases mit externen Benutzern gibt. Jetzt sollten u.a. Sicherheitsaspekte bedacht werden. Wollen Sie z.B. das alle externen Benutzer sich untereinander sehen dürfen? Ein weiterer Punkt wäre, wenn Ihre Administatoren ein weiteres Benutzerkonto mit Administratorenrechten haben – sollen diese unbedingt im SharePoint auftauchen? Hier könnten Sie die ou ausschließen, in denen die Administratorenkonten liegen.

In SharePoint 2013 kann wie in seinem Vorgänger einige Dinge im People Picker per STSADM Befehl verändert werden, um beispielsweise Websitesammlungen voneinander zu trennen. Hier können u.a. folgende Ausschlussverfahren benutzt werden.

• Ausschluss aller nicht Websitesammlungsbenutzer
• Zuweisung einer Websitesammlung zu einer Active Directory Organisationseinheit
• Zuweisung aller Websitesammlungen eines Mandanten zu einer Active Directory Organisationseinheit

Ausschluss aller nicht Websitesammlungsbenutzer

Eine Funktion, die eventuelle viele Mitarbeiter, die mit SharePoint arbeiten verägern wird. Sie können im ersten Schritt Benutzer auf die Websitesammlung berechtigen und durch den untenstehenden Befehl werden nur noch die User angezeigt, die auf der Websitesammlung berechtigt sind. Alle anderen User sind ausgeschlossen. Im externen Bereich macht so etwas Sinn aber ich rate dazu ab, weil die Akzeptanz von SharePoint schwindet.

Korrekter stsadm Befehl, welcher auf den Microsoft Seiten falsch aufgeführt ist:

stsadm.exe -o setproperty -pn peoplepicker-onlysearchwithinsitecollection -pv yes -url https://example.com

Wenn Sie das „yes“ durch ein „no“ ersetzen, können Sie die Einstellungen wieder rückgängig machen und alle Benutzer aus dem AD werden wieder gefunden.

Die Werte lassen sich mit folgenden Befehl auslesen:

stsadm getproperty -url https://example.com -pn peoplepicker-OnlySearchWithinSiteCollection

oder mit Powershell:

site = New-Object -TypeName Microsoft.SharePoint.SPSite(“https://example.com“)
$Site.WebApplication.PeoplePickerSettings.OnlySearchWithinSiteCollection = $True
$Site.WebApplication.Update()

Zuweisung einer Websitesammlung zu einer Active Directory Organisationseinheit

Die Zuweisung nur zu bestimmten ou´s macht in vielen Unternehmen wiederum oft Sinn, um eventuell Test Accounts oder ADM Accounts schnell auszugrenzen, damit diese nicht  nicht IT-affine Menschen verwirrt.

Sie können mir folgenden Befehl auf ou´s beschränken

Stsadm -o Setproperty -url [URL der Websitesammlung] -pn PeoplePicker-ServiceAccountDirectoryPaths -pv [DN der OU z.B. „ou=Damme,dc=contoso,dc=com“]

Die PowerShell-Lösung sieht wie folgt aus:

Set-SPSite [URL der Websitesammlung] -UserAccountDirectoryPath “[DN der OU z.B. ou=Damme,dc=contoso,dc=com]“

Um die korrekte ou nun für eine Websitesammlung auslesen zu können – hilft Ihnen der folgende Befehl weiter:

Zuweisung aller Websitesammlungen eines Mandanten zu einer Active Directory Organisationseinheit

Benutzen Mitarbeiter die neue Subscription FUnktion in SharePoint kann für diese elegant eine ou festlegen. Somit haben die Kollegen immer die korrekte ou für Ihre Websitesammlungen. Ich selber hatte bisher kein Szenario, wo ich diese funktion anwenden musste.

STSM ADM Befehl:

Set-SPSiteSubscriptionConfig [URL einer Websitesammlung] -UserAccountDirectoryPath [DN der OU]

Zum Überprüfen dieses Wertes:

Get-SPSiteSubscriptionConfig [URL einer Websitesammlung]

People Picker und das Problem einer weiteren externen Domäne!

Ich hatte schon einmal in meinem Blog über den Two way domain trust berichtet, daher verlinke ich intern auf meine Seite. Als erinnerung ist es so, dass trotz vertrauenstellung oft das „externe“ AD, welches angebunden wurde, nicht direkt vom SharePoint gefunden wird.

Two way domain trust by andre kramer.

Auf folgender Microsoft Site finden Sie noch mehr über den People Picker in SharePoint 2013:

Configure People Picker in SharePoint 2013 (Microsoft Site)

Achtung hier hat sich ein Fehler in den STSADM Befehlen eingeschlichen. Die url muss in einigen Fälnnen am Ende angehangen werden.

Ich hoffe ich konnte euch einen kleinen Einblick im People Picker schaffen und merken Sie sich, dass der People Picker und das lokalisieren der Benutzer nichts mit dem User Profile Sync Service zu tun hat. Dieses liest man in englischsprachigen Foren immer wieder. Ist aber schlichtweg Falsch. Ich verspreche, dass ich mich in einem weiteren Artikel mit dem User Prof. Sync Service beschäftigen werde.

Wie ein geschätzer SharePoint Kollege sagt: „Happy SharePointing“

//Andre