当我在 AD 中查找用户时,用户是否可以在 2 个不同的控制器上拥有 2 个条目?如果查找 #1 返回条目和参考,我是否需要遵循参考以获得有关用户的其他信息?或者参考是否具有相同的信息,因此可以忽略?
问问题
115 次
1 回答
0
userPrincipalNameActive Directory 不强制执行唯一性。它是创建用户对象或修改userPrincipalName负责确保它在整个森林中唯一的应用程序。如果 Active Directory 检测到有多个具有相同userPrincipalName分配的用户对象,则用户将无法使用该userPrincpialName. 查看此Microsoft KB了解详细信息。
您可以收到 LDAP 参考结果的原因有很多。一个常见的原因是父域下有一些子域,而您正试图从父域开始进行子树搜索。
来自父域的域控制器无法为您的查询提供完整的答案,因为某些目录分区正在由子域的域控制器处理。因此,它会返回一些Subordinate References. 它提示客户遵循参考并获得完整的结果。有关参考结果的完整列表,您可以在此处查看
如果我正确理解了您的问题,您将运行基于 的 LDAP 查询,userPrincipalName并且已经从父域返回了一个条目。您是在询问是否应该停止查询,或者您应该遵循参考并继续查询。我想说您应该始终遵循参考并继续查询。如果您发现多个用户对象具有相同的userPrincipalName,您可能希望正确处理该案例。例如,就像 Windows 所做的那样,阻止用户登录或在某处发出警告消息。
于 2012-07-14T05:33:50.357 回答