我不确定这是否可行,但我想通过 LDAP 从 AD 中的给定 OU 获取以下子 OU:
获取给定用户 X 可以管理的所有 OU(设置密码、编辑用户或组等的权限)。
要获得OU,我可以过滤(objectClass=organizationalUnit),但我如何过滤管理权限,有没有办法?
问问题
248 次
1 回答
1
我不认为这是可能的。管理权限存储在 DACL 的nTSecurityDescriptor属性中。为了执行访问检查,您必须评估 DACL 中的每个 ACE,因为拒绝胜过允许。您还必须知道用户所属的每个组,这需要对tokenGroups属性(或登录令牌)进行自己的查询。我看不出如何使用有限的可用运算符构建 LDAP 查询,从而将 ACL 的所有复杂性都考虑在内。
于 2012-12-06T21:50:46.277 回答