People Picker in SharePoint 2010 für One-Way AD Trusts konfigurieren
Ausgangslage: Die SharePoint 2010 Server stehen in der Domäne A, die Domain Controller mit den Benutzern, die sich künftig an SharePoint anmelden sollen, stehen in der Domäne B. Zudem existiert ein One-Way Trust zwischen Domain A (ausgehend) und Domain B (eingehend).
Standardmässig gibt der People Picker nur Benutzer und Gruppen aus der Domain zurück, in welcher die SharePoint 2010 Server installiert sind. Soll der People Picker Ergebnisse aus mehr als einer Domain oder einem Forest zurückgeben, dann muss entweder ein Two-Way Trust zwischen den Domains resp. Forests bestehen oder der People Picker muss zur Nutzung eines verschlüsselten Accounts für einen One-Way Trust zwischen den Domains resp. Forests konfiguriert werden.
Zuerst muss auf jedem SharePoint Server ein Encryption Key gesetzt werden
stsadm.exe -o setapppassword -password
Anschliessend wird für alle Forests resp. Domains je einen User hinterlegt, der berechtigt ist, Benutzeranfragen in seiner Domain zu tätigen. Das muss auf jedem SharePoint Server und pro Web Application gemacht werden.
STSADM.exe -o setproperty -pn peoplepicker–searchadforests -pv “domain:DomainA,DomainA\Benutzer,Passwort;domain:DomainB,DomainB\Benuzter,Passwort” -url http://ihre.webapplication.com
Nun verhielt es sich so, dass die Benutzer aus Domain A und B auf den vorhandnen Site Collections berechtigt werden konnten. Das Problem bestand aber darin, dass in der Central Administration keine Benutzer aus der Domain B, beispielsweise als Site Collection Administratoren oder Farm Administratoren, abgefragt oder berechtigt werden konnten. Der People Picker meldete jeweils No results were found to match your search item. Please enter a new term or less specific term zurück.
Der obenstehende Befehl zur Konfiguration der Accounts für den PeoplePicker brachte bei der Anwendung auf die Web Application der Central Administration ebenfalls keinen Erfolg.
Die Lösung ist, für den Farm Account einen Benutzer der Domain B zu hinterlegen.
Aber Achtung: Das ist keine generelle Lösung und sollte gut überlegt sein. Denn der Farm Account hat viele Rechte und gerade in Kombination mit einer Internet-facing Farm würde ich diese Anpassung nicht empfehlen. Dieser Workaround ist eher für in sich geschlossene SharePoint Umgebungen zu gebrauchen.
Gehen Sie wie folgt vor: Central Administration > Security > Configure Service Accounts > Wählen Sie Farm Account und wählen Sie im Feld Select an account for this component den zuvor erstellten Benutzer aus der Domain B aus. Sollte dieser noch nicht als Managed Account definiert sein, können Sie dies via Register new managed account nachholen. Tragen Sie DomainB\User und das Passwort ein. Es kann durchaus sein, dass Sie folgende Fehlermeldung erhalten: An error occurred while getting information about the user
Ist dies der Fall, dann müssen Sie den Managed Account wie folgt mit Power Shell anlegen:
Öffnen Sie die SharePoint Management Shell als Administrator und führen Sie diesen Befehl aus:
$cred = Get-Credential
Es erscheint ein Loginfenster. Tragen Sie dort DomainB\User und Passwort für den Account aus der Domain B ein, den Sie nachher als Farm Account verwenden wollen.
Anschliessend folgender Befehl ausführen, um den zuvor eingegebenen Benutzer als Managed Account hinzuzufügen.
New-SPManagedAccount –Credential $cred
Zur Überprüfung können Sie sich die Managed Accounts anzeigen lassen:
Get-SPManagedAccount
Weitere Informationen zu diesem Thema finden Sie hier:
Configure People Picker (SharePoint Server 2010)
http://technet.microsoft.com/en-us/library/gg602075.aspx
