我们有一个特定用户的 LDAP 登录问题,我怀疑这是由于 LDAP 中的循环组分配,即用户被分配到组 A、B、C、D。组 A 包含子组 E、F、G,组 E 再次包含组 A。
如果我查询用户,我可以看到他被分配了 50 多个组,每个组可能包含更多组,每个组可能包含更多......
我的问题是,如果有一个查询我可以运行以获取这些主要组中的嵌套组,而不是去每个组并手动执行?
服务器是AD
问问题
8534 次
1 回答
4
要查找“user1”所属的所有组(对此答案的改编,请参阅AD 搜索过滤器):
- 将 base 设置为组容器 DN;例如根 DN (dc=dom,dc=fr)
- 将范围设置为子树
- 使用以下过滤器:(成员:1.2.840.113556.1.4.1941:=cn=user1,cn=users,DC=x)
LDIFDE.EXE示例(Windows 上的本机命令行 AD 搜索):
ldifde -f t.txt -d "DC=dom,DC=fr" -r "(member:1.2.840.113556.1.4.1941:=CN=jblanc,OU=MonOu,DC=dom,DC=fr)"
备注:据我所知,括号中的用户 DN 名称存在小的语法差异。'1.2.840.113556.1.4.1941' 在 W2K3 SP1 中不起作用,它开始在 SP2 中起作用。我认为它与 W2K3 R2 相同。我在这里用 W2K8R2 测试。
使用 Apache 目录工作室:
结果 :
于 2012-09-03T05:06:30.187 回答