michael@mycontoso.com使用 objectSid搜索用户S-1-5-21-1234567890-123465789-123456789-123456,我只找到一个 Foreign Security Principal CN=S-1-5-21-1234567890-123465789-123456789-123456,CN=ForeignSecurityPrincipals,DC=contoso,DC=com。那个外国安全主体不包含我必须阅读的属性,所以我想我必须访问那个 FSP 的“Home AD”。
FSP 是否具有始终包含用户对象的 LDAP 路径的属性?是否有标准化/推荐的方式来访问 Home AD?
遗憾的是 FSP 不包含被引用对象的 LDAP 路径。(如果它包含一个,那么一旦对象被重命名/移动,就需要复制它)
似乎没有简单的方法可以使用来自外国森林的 SID 取回包含的 AD。如果在本地森林中,您可以通过绑定到LDAP://<SID=S-1-xxxxx>.
一种不太简单的方法是构建域 SID 到域映射。
遍历受信任森林中的每个域并使用此处的脚本(“脚本解决方案”部分)构建地图。
安全主体的 SID 格式为<domain SID>-<RID>.
例如,域 SIDS-1-5-21-1234567890-123465789-123456789-123456为S-1-5-21-1234567890-123465789-123456789。
通过提取域 SID(如果在 .NET 中,您可以使用SecurityIdentifier类和AccountDomainSid属性来完成)和映射,您可以找到包含域。
您可以尝试检索msDS-PrincipalName:
ldapsearch <options> -b "CN=ForeignSecurityPrincipals,DC=contoso,DC=com" "CN=S-1-5-21-1234567890-123465789-123456789-123456" msDS-PrincipalName
FOO\michael@mycontoso.com
否则,该方法如https://stackoverflow.com/a/27038494/10408280所述: