更新(08.07.2015):
- 在 peoplepicker 请求期间,我在一个 WFE 上尝试了 WireShark。
- LDAP AD (GC) 响应中清楚地显示了禁用的帐户。
- SharePoint 2013 仍然没有在 GUI 中显示禁用的帐户
结论:SharePoint 确实在代码的其他位置 (xxx.dll?) 中过滤掉了“UserAccountControl = 514”({if}?)。我不知道为什么微软将行为从 2007/2010 更改为 2013。
我可以改变这个吗???可以配置吗???
亲爱的 StackOverFlow 社区
我们有 SharePoint 2013 SP1 和 2014 年 9 月的 CU。
问题:
自去年以来,我们正在过滤“AD 导入”禁用的用户。我们的 Intranet 环境中不需要它们。但现在我们正在构建一个协作平台。有些人需要授权残疾用户使用他们的工作空间。(网站集)
这个想法是,使用人员选择器来查找所有(启用和禁用)用户,仅此而已。但我找不到任何使用人员选择器的禁用用户。
问题是:
为什么它不起作用?(这应该是因为许多 SharePoint 管理员声称看到禁用用户而不是人员选择器)
我试图强制人员选择器查找具有(userAccountControl:1.2.840.113556.1.4.803:=2)的显式用户。(我只设置过滤器而不是查询)
$wa.PeoplePickerSettings.ActiveDirectoryCustomFilter = "(&(objectCategory=person)(objectClass=user)(!(userAccountControl:1.2.840.113556.1.4.803:=2))"
仍然没有找到任何禁用的用户。即使使用 $null 值,如下所示:
PS C:\Windows\system32> $wa.PeoplePickerSettings
搜索活动目录域:{}
活动目录自定义查询:
活动目录自定义过滤器:
OnlySearchWithinSiteCollection:假
PeopleEditorOnlyResolveWithinSiteCollection:错误
分布列表搜索域:{}
活动目录搜索超时:00:00:30
NoWindowsAccountsForNonWindowsAuthenticationMode :真
服务帐户目录路径:{}
ReferralChasingOption : 无
ActiveDirectoryRestrictIsolatedNameLevel:假
AllowLocalAccount : 真
ShowUserInfoListSuggestionsInClaimsMode:真
升级的PersistedProperties:{}
PS C:\Windows\system32>
观察:
似乎它可以找到网站集中“用户列表”中的用户(但只能通过电子邮件地址)。可能曾经在 WebApplication 上登录过但现在被禁用的用户。据我了解,人员选择器会:
- 检查网站集上的用户列表
- 直接在 AD(或全局目录)中检查
我们仍然有一个 2007 年的环境,使用人员选择器来查找任何残疾用户没有问题。为什么SP2013会这么麻烦?我什至尝试在我们的测试实验室中导入每个用户(启用和禁用)以找出它是否与 AD 导入中的 LDAP 过滤有关。但这对这种情况没有多大帮助。现在已导入禁用的用户,但人员选择器仍然没有找到任何禁用的用户。
我试图找到有同样问题的人-> https://sharepoint.stackexchange.com/questions/80032/unable-to-get-disabled-ad-accounts-in-people-picker(这里没有解决方案...... )
我在 Technet 上发布了同样的问题 --> https://social.technet.microsoft.com/Forums/en-US/75272928-6370-4d8d-9b8f-ce5ec6642407/peoplepicker-cant-find-disabled-ad-users-第514章
我只想知道如何在人员选择器中找到禁用的用户。这应该是正常情况。只要您不为其设置自定义过滤器,人员选择器就应该找到特定域中的每个用户帐户。但就我而言,它没有。
我们只有一个域而不是多域环境。