2

michael@mycontoso.com使用 objectSid搜索用户S-1-5-21-1234567890-123465789-123456789-123456,我只找到一个 Foreign Security Principal CN=S-1-5-21-1234567890-123465789-123456789-123456,CN=ForeignSecurityPrincipals,DC=contoso,DC=com。那个外国安全主体不包含我必须阅读的属性,所以我想我必须访问那个 FSP 的“Home AD”。

FSP 是否具有始终包含用户对象的 LDAP 路径的属性?是否有标准化/推荐的方式来访问 Home AD?

4

2 回答 2

3

遗憾的是 FSP 不包含被引用对象的 LDAP 路径。(如果它包含一个,那么一旦对象被重命名/移动,就需要复制它)

似乎没有简单的方法可以使用来自外国森林的 SID 取回包含的 AD。如果在本地森林中,您可以通过绑定到LDAP://<SID=S-1-xxxxx>.

一种不太简单的方法是构建域 SID 到域映射
遍历受信任森林中的每个域并使用此处的脚本(“脚本解决方案”部分)构建地图。

https://docs.microsoft.com/en-us/archive/blogs/ashleymcglone/powershell-sid-walker-texas-ranger-part-3-exporting-domain-sids-and-trusts

安全主体的 SID 格式为<domain SID>-<RID>.
例如,域 SIDS-1-5-21-1234567890-123465789-123456789-123456S-1-5-21-1234567890-123465789-123456789

通过提取域 SID(如果在 .NET 中,您可以使用SecurityIdentifier类和AccountDomainSid属性来完成)和映射,您可以找到包含域。

于 2014-11-20T11:30:05.570 回答
0

您可以尝试检索msDS-PrincipalName

ldapsearch <options> -b "CN=ForeignSecurityPrincipals,DC=contoso,DC=com" "CN=S-1-5-21-1234567890-123465789-123456789-123456" msDS-PrincipalName

FOO\michael@mycontoso.com


否则,该方法如https://stackoverflow.com/a/27038494/10408280所述:

  1. 从 SID 的第一部分检索域标识符
  2. 针对用户的 SID 或通过 sAMAccountName 对该域执行查找
于 2019-04-16T17:32:33.040 回答