ldap - LDAP：组织单位可以成为组的成员吗？

Question

我只是想知道，对于 LDAP 结构，一个组是否可以有一个组织单位作为成员？还是我几乎可以保证组对象下的任何内容都是用户或另一个组？

还有以下保证吗？

1) 用户的父级是组或组织单元
2) 组的父级是组或组织单元
3) 组织单元的父级是组织单元或根

谢谢，我对 LDAP 还是很陌生。

Answer 1

不，OU 不能是 LDAP 组的成员
（至少不能在 Windows Active Directory 中，这是我知道的 LDAP 实现，我在这里谈论）

组织单位是可以包含其他对象的容器- 安全主体，如用户和计算机帐户以及组。

容器也不能分配给它们任何权限——它们不是安全主体，您不能授予文件或目录或类似内容的 OU 权限。

组可以包含安全主体作为其成员（其他组、用户或计算机），但不能包含容器。无论如何，包含容器是没有意义的——因为它们不是“安全主体”，例如它们不能分配给它们任何权限，因此将它们添加到组中也没有任何逻辑意义。

这与其他目录系统（如 Novell 的 NDS / eDirectory）完全不同，其中组织和 OU 确实具有权限（尽管我不记得您是否可以将这些对象添加到组的成员列表中）

此外，您需要将包含（组或用户始终包含在一个容器中）和组成员身份（用户可以是许多组的成员，但他不包含在这些组中 - 只是其中的成员）分开 - 它们是两个完全不同的概念。

Answer 2

使用groupOfUniqueNamesobjectClass，可选的多值属性uniqueMember可以是任何有效的专有名称，包括任何或所有 RDN 组件为ou或的专有名称organizationalUnit。

也可以看看

• RFC4519

请注意，groupOfUniqueNamesrequire的一些实现uniqueMember，而另一些则没有。