GuilleSQL :: Microsoft SQL Server, SSIS, y más !!

Restringir los resultados de búsqueda de personas con People Picker con un filtro LDAP en SharePoint


Recientemente me he encontrado con la necesidad de tener que restringir los resultados de búsqueda que obtienen los usuarios al realizar una búsqueda de personas con People Picker en SharePoint, debido a que un cliente había creado una relación de confianza bidireccional en Directorio Activo con otro Dominio, lo cual estaba generando resultados de búsqueda adicionales, y sobre todo, mucha confusión e incidencias de usuario. Afortunadamente, STSADM está con nosotros para solucionar este tipo de problemas.

La creación de una Relación de Confianza Bidireccional en Directorio Activo hará que las búsquedas de personas en SharePoint con People Picker devuelvan muchos más resultados de búsqueda, algo que en ocasiones puede resultar molesto, confuso, e incluso generarnos llamadas adicionales de usuarios.

Esta es la situación que me encontré recientemente en un cliente, que en consecuencia, necesitaba urgentemente poder restringir dichos resultados de búsqueda para no incluir las cuentas de usuario del resto de dominios de Directorio Activo con lo que tenía establecida una Relación de Confianza.

Sin embargo, puede haber más casos en los que necesitemos o deseemos poder restringir los resultados de las búsquedas de personas con People Picker, quizás para excluir aquellas cuentas que no sean de usuarios finales (ej: cuentas de servicio), o quizás en alguna otra situación. En cualquier modo, restringir los resultados del People Picker no es una necesidad concreta de tener una Relación de Confianza Bidireccional. Nos puede hacer falta en muchos más casos.

En cualquier caso, afortunadamente SharePoint incluye un comando STSADM que permite establecer un filtro LDAP que se añadirá a las búsquedas que realicemos con People Picker, para de este modo, poder personalizar ó filtrar los resultados de búsquedas de personas que recibirán los usuarios.

Veamos un ejemplo. En uno de mis entornos de Laboratorio con SharePoint 2007 SP3, tengo cargados en Directorio Activo unos 50000 usuarios de prueba, todo ellos sin cuenta de correo electrónico (salvo rara excepción). En mi caso, deseo poder filtrar los resultados de búsqueda, para que sólo se incluyan las cuentas de usuario que tienen dirección de correo electrónico.

Así por ejemplo, si realizo una búsqueda de personas utilizando el People Picker, si como condición de búsqueda establezco Guillermo, obtendré los siguientes resultados de búsqueda (todos los Guillermos que existan en Directorio Activo), la mayoría de los cuales son cuentas de usuario que no tienen configurada una dirección de correo electrónico.

Así por ejemplo, si realizo una búsqueda de personas utilizando el People Picker, si como condición de búsqueda establezco Guillermo, obtendré los siguientes resultados de búsqueda (todos los Guillermos que existan en Directorio Activo), la mayoría de los cuales son cuentas de usuario que no tienen configurada una dirección de correo electrónico.

Para solucionarlo, vamos a ejecutar el siguiente comando STSADM peoplepicker-searchadcustomfilter, el cual añade un filtro LDAP, de tal modo que sólo se devuelvan como resultados de búsqueda objetos con dirección de correo electrónico establecida o grupos de usuarios. El comando es el siguiente: stsadm -o setproperty -pn peoplepicker-searchadcustomfilter -pv "(|(mail=*)(objectcategory=group))" -url http://viis03

Para solucionarlo, vamos a ejecutar el siguiente comando STSADM peoplepicker-searchadcustomfilter, el cual añade un filtro LDAP, de tal modo que sólo se devuelvan como resultados de búsqueda objetos con dirección de correo electrónico establecida o grupos de usuarios

Si ahora repetimos la misma búsqueda de personas, podremos observar que tan sólo se recibe un resultado de búsqueda, el cual corresponde a un usuario que tiene establecida una dirección de correo electrónico. Genial. Justo lo que queríamos.

Si ahora repetimos la misma búsqueda de personas, podremos observar que tan sólo se recibe un resultado de búsqueda, el cual corresponde a un usuario que tiene establecida una dirección de correo electrónico. Genial. Justo lo que queríamos

A partir de aquí, tan sólo se trata de imaginación. Por ejemplo, en el caso que tuve con este cliente, inicialmente utilicé como filtro LDAP una comprobación del User Principal Name (había dos sufijos posibles) como truco para restringir los resultados de búsqueda a los usuarios de un Dominio en particular, para lo cual ejecuté con comando similar al siguiente:

stsadm -o setproperty -pn peoplepicker-searchadcustomfilter -pv "(|(userPrincipalName=*guillesql.local)( userPrincipalName=*guillesql.es))" -url http://www.guillesql.local

Sin embargo, este filtro tenía un par de problemas, ya que incluía las cuentas de usuario deshabilitadas, y además excluía los Grupos de Directorio Activo, por lo que finalmente utilicé otro filtro LDAP algo más completo. En particular utilicé el siguiente comando STSADM:

stsadm -o setproperty -url http://www.guillesql.local -pn peoplepicker-searchadcustomfilter -pv "(|(&(!(userAccountControl:1.2.840.113556.1.4.803:=2))(|(userPrincipalName=*guillesql.es)(userPrincipalName=*guillesql.local)))(&(objectcategory=group)(objectCategory=CN=Group,CN=Schema,CN=Configuration,DC=GUILLESQL,DC=LOCAL)))"

Y funcionando.

Recordemos, que para ayudarnos a identificar qué Atributos de Directorio Activo podemos utilizar en nuestros filtros LDAP, tenemos herramientas como el ADSI y el Active Directory Users and Computer (ADUC). Ojo con los Atributos, porque no todos soportan comodines (ej: el *).

Un detalle muy importante que tener en cuenta. Al realizar una Búsqueda de Personas, los resultados que obtendremos serán la suma de los resultados de la búsqueda LDAP en Directorio Activo más los resultados ya "cacheados" en la Base de Datos de Contenido del Site. En todas las Bases de Datos de Contenido de SharePoint, tenemos la tabla dbo.UserInfo, en la cual se almacena información variopinta de usuarios y grupos, y que actúa también como una Caché para las Búsquedas de Personas.

Pór último, aprovecho para incluir algunas referencias de la Web, para quien desee ampliar más información:

Poco más por hoy. Como siempre, confío que la lectura resulte de interés.

 


[Fecha del Artículo (UTC): 17/10/2013]
[Autor: GuilleSQL]



Escribir un Comentario

Para poder escribir un comentario, debe Iniciar Sesión con un usuario.

Si no dispone de un usuario, puede Registrarse y hacerse miembro.

Si dispone de un usuario, pero no recuerda sus credenciales de acceso, puede Restablecer su Contraseña.

Miembros de
Miembros de GITCA (Global IT Community Association)

Menu de Usuario
  Iniciar Sesión
  Registrarse
  Restablecer Contraseña
  Ventajas de Registrarse

Acerca de
  Contigo desde Oct 2007
  771 usuarios registrados
  86146 pageloads/mes
  Ranking Alexa 498160

Social Networks
Sigue a Portal GuilleSQL en Linkedin !!
Sigue a Portal GuilleSQL en Twitter !!



Archivo

Enero de 2017 (4)
Junio de 2016 (1)
Mayo de 2016 (2)
Abril de 2016 (2)
Septiembre de 2015 (2)
Agosto de 2015 (2)
Junio de 2015 (10)
Mayo de 2015 (4)
Abril de 2015 (8)
Marzo de 2015 (11)
Octubre de 2014 (3)
Septiembre de 2014 (7)
Agosto de 2014 (5)
Julio de 2014 (2)
Mayo de 2014 (4)
Abril de 2014 (4)
Marzo de 2014 (4)
Febrero de 2014 (1)
Enero de 2014 (5)
Diciembre de 2013 (8)
Noviembre de 2013 (2)
Octubre de 2013 (7)
Septiembre de 2013 (6)
Agosto de 2013 (1)
Julio de 2013 (6)
Junio de 2013 (11)
Mayo de 2013 (7)
Abril de 2013 (6)
Febrero de 2013 (5)
Enero de 2013 (7)
Diciembre de 2012 (12)
Noviembre de 2012 (13)
Octubre de 2012 (5)
Septiembre de 2012 (3)
Agosto de 2012 (6)
Julio de 2012 (4)
Junio de 2012 (1)
Mayo de 2012 (2)
Abril de 2012 (7)
Marzo de 2012 (16)
Febrero de 2012 (9)
Enero de 2012 (5)
Diciembre de 2011 (10)
Noviembre de 2011 (10)
Octubre de 2011 (4)
Septiembre de 2011 (5)
Agosto de 2011 (2)
Julio de 2011 (2)
Junio de 2011 (4)
Mayo de 2011 (2)
Abril de 2011 (6)
Marzo de 2011 (4)
Febrero de 2011 (10)
Enero de 2011 (5)
Diciembre de 2010 (6)
Noviembre de 2010 (4)
Octubre de 2010 (8)
Septiembre de 2010 (4)
Agosto de 2010 (1)
Julio de 2010 (3)
Mayo de 2010 (5)
Abril de 2010 (6)
Marzo de 2010 (8)
Febrero de 2010 (3)
Enero de 2010 (1)
Diciembre de 2009 (9)
Noviembre de 2009 (14)
Octubre de 2009 (2)
Septiembre de 2009 (8)
Agosto de 2009 (2)
Julio de 2009 (10)
Junio de 2009 (9)
Mayo de 2009 (10)
Abril de 2009 (9)
Marzo de 2009 (3)
Febrero de 2009 (2)
Enero de 2009 (3)
Noviembre de 2008 (2)
Octubre de 2008 (2)
Septiembre de 2008 (2)
Agosto de 2008 (5)
Julio de 2008 (5)
Junio de 2008 (1)
Mayo de 2008 (3)
Abril de 2008 (2)
Marzo de 2008 (2)
Febrero de 2008 (2)
Enero de 2008 (5)
Noviembre de 2007 (2)
Octubre de 2007 (2)






Esta información se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.
This information is provided "AS IS" with no warranties, and confers no rights.

Copyright © 2007 GuilleSQL, todos los derechos reservados.
GuilleSQL.com y GuilleSQL.net son también parte de Portal GuilleSQL.

Visitas recibidas (Page Loads) en GuilleSQL (fuente: StatCounter):

screen resolution stats
Visitas