sharepoint - 人员选择器能否解析 FBA 扩展网站中的 NTLM 用户

Question

我们有一个使用声明身份验证的 SharePoint 2010 Extranet Web 应用程序。

• Intranet 区域使用混合身份验证(针对内部 AD 的 NTLM 和针对单独 AD 的 FBA)。
• Extranet 区域仅针对单独的 AD 使用 FBA。

我们的网站的 Members SharePoint 组中有 NTLM 用户。我们的图书馆的“个人”栏仅限于成员(member)组。我们希望允许 FBA 用户在填写项目元数据时选择属于 Members 组的 NTLM 用户。问题在于，FBA 用户可以在人员选择器中看到 NTLM 用户，但当他们选择他们时，用户未解析。我意识到我们可以通过将 NTLM 添加到 Extranet 区域来解决此问题，但如果可能的话，我们不希望这样做。

我的问题是:

在这种情况下，自定义声明提供程序是否合适？

这个问题可以通过 peoplepicker-searchadforests 属性来解决吗？ (我无法理解该属性发挥作用的现实世界示例)

Answer 1

这就是我对人员选择器工作原理的理解。我不是 100% 确定，所以不要将其视为绝对真理:)

基本上，在 Extranet 应用程序的上下文中，所有标准选择器完全不知道内部 AD 的存在。您在人员选择器中获得的“点击数”可在 SiteUsers 列表和/或个人资料数据库中找到。

“这个问题可以通过 peoplepicker-searchadforests 属性来解决吗？”我不这么认为，我认为即使您能够让人员选择器搜索其他广告，也可能会给出一些非常奇怪的结果，例如能够向某些对象添加人员权限，但带有 FBA 声明前缀，这不等于使用 NTLM 登录时的用户。 (使用 NTLM 和声明登录的用户在技术上是不同的用户。)

“在这种情况下，自定义声明提供程序是否合适？”我不这么认为:(

您可以为您创建的人员选择器执行一个技巧(即您有一个自定义页面或 Web 部件或带有人员选择器的东西)，您可以设置多个属性来从检索用户的位置进行更改。例如，您可以设置“WebApplication”或类似的属性，基本上使选择器像在内部应用程序的上下文中一样工作，尽管当前用户已登录外部应用程序。

我的想法是，也许有某种方法可以在 Extranet 应用程序上启用 NTLM 成员资格提供程序，但实际上并没有启用最终用户身份验证。这听起来并非不可能，但我不确定具体如何完成。