0

我需要从特定类别中获取所有用户及其组。

用户示例:

user  | memberof
user1 | CN=group_1,OU=Groupes,OU=CR 1,DC=zcam,DC=ztech
user1 | CN=group_2,OU=Groupes,OU=CR 1,DC=zcam,DC=ztech
user2 | CN=group_2,OU=Groupes,OU=CR 1,DC=zcam,DC=ztech
user3 | CN=group_3,OU=Groupes,OU=CR 2,DC=zcam,DC=ztech

我需要获取memberof包含的每个用户OU=Groupes,OU=CR 1,DC=zcam,DC=ztech(我的示例中的 user1 和 user2)

按照这个文档(https://docs.microsoft.com/fr-fr/windows/desktop/ADSI/search-filter-syntax)我尝试了以下语法:

DirectoryEntry ldap = new DirectoryEntry("LDAP://xxx.xxx.xxx.xxx");
using (DirectorySearcher searcher = new DirectorySearcher(ldap))
{
    // Works but return everything
    searcher.Filter = "(&(objectClass=user)(memberof=*))";

    // Works but only for one group
    searcher.Filter = "(&(objectClass=user)(memberof=CN=group_1,OU=Groupes,OU=CR 1,DC=zcam,DC=ztechh))";

    // Doesn't work because searcher.FindAll().Count returns 0
    searcher.Filter = "(&(objectClass=user)(memberof=*,OU=Groupes,OU=CR 1,DC=zcam,DC=ztechh))";

    // searcher.FindAll().Count returns 0
    foreach (SearchResult result in searcher.FindAll()) 
    {
        [...]
    }

在此之后(https://community.servicenow.com/community?id=community_question&sys_id=00d29fa1db101fc01dcaf3231f96197f)我尝试将通配符更改为*a%但它没有改变结果。

4

3 回答 3

2

我需要获取 memberof 包含 OU=Groupes,OU=CR 1,DC=zcam,DC=ztech 的每个用户(我的示例中的 user1 和 user2)

如果我理解正确,我认为这句话总结了你想要做的事情。您想要查找属于该 OU 中任何组的所有用户。

Active Directory 不允许您在任何带有distinguishedName. 这包括membermemberOf。因此,唯一的方法是分两步:

  1. 查找该distinguishedNameOU 中的所有组。
  2. 搜索memberOf包含步骤 1 中找到的值之一的所有用户。

像这样的东西(我没有针对 AD 测试过这个,所以你可能需要调整它):

var groupSearch = new DirectorySearcher(
    new DirectoryEntry("LDAP://OU=Groupes,OU=CR 1,DC=zcam,DC=ztech"), //notice the OU
    "(objectClass=group)");

//if you don't do this, it will return *every* attribute, which is slower
groupSearch.PropertiesToLoad.Add("distinguishedName");

//build a user query with all the groups
var userFilter = new StringBuilder("(&(objectClass=user)(|");
using (var results = groupSearch.FindAll()) {
    foreach (SearchResult result in results) {
        userFilter.Append($"(memberOf={result.Properties["distinguishedName"][0]})");
    }
}
userFilter.Append(")");

var userSearch = new DirectorySearcher(
    new DirectoryEntry("LDAP://DC=zcam,DC=ztech"),
    userFilter.ToString());

//userSearch.PropertiesToLoad.Add(""); //add only the attributes you need to make it quicker

using (var results = userSearch.FindAll()) {
    foreach (SearchResult result in results) {
        //do something
    }
}

请注意,这只会找到这些组的直接成员。它不会返回嵌套组中的用户(当用户在属于这些组之一的组中时)。如果需要,可以调整过滤器以包含一个特殊标志,告诉 AD 递归搜索:

userFilter.Append($"(memberOf:1.2.840.113556.1.4.1941:={result.Properties["distinguishedName"][0]})");

根据您的域,您可能需要注意两件事:

  1. 这不会返回将这些组之一作为其主要组的用户,因为该关系不是使用member/存储的memberOf
  2. 如果这些组有来自外部受信任域的成员,那么您最终会找到外部安全主体对象,而不是它们的实际用户对象。如果这对你来说是个问题,那就是另一回事了。

如果你好奇的话,我已经写了几篇关于这个主题的文章。从这个开始:Active Directory:是什么让会员成为会员?

于 2019-03-21T20:56:07.953 回答
0

编辑版本;延长你所有的group_X

(
&(objectClass=user)
(|(memberof=CN=group_1,OU=Groupes,OU=CR 1,DC=zcam,DC=ztechh)
(memberof=CN=group_2,OU=Groupes,OU=CR 1,DC=zcam,DC=ztechh))
)
于 2019-03-21T10:36:59.683 回答
0

最后我找到了另一种方法。其实这个属性对应我AD中的划分OU=CR 1memberof所以我只是像这样过滤:

DirectoryEntry ldap = new DirectoryEntry("LDAP://xxx.xxx.xxx.xxx");
using (DirectorySearcher searcher = new DirectorySearcher(ldap))
{
    searcher.Filter = "(&(objectClass=user)(division=CR 1))";

    foreach (SearchResult result in searcher.FindAll()) 
    {
        [...]
    }

感谢大家的帮助。

于 2019-03-28T16:51:37.833 回答