问题标签 [memberof]

如果我查询 AD，那么对于某些用户，该属性memberOf不包含任何内置组。有问题的用户都被移到一个单独的 OU 中。

查询很简单：

但是微软的“Active Directory 用户和计算机”工具显示了这个成员。问题可能出在哪里？这是访问权限问题吗？

我有以下脚本来确定当前用户是否是预定组的一部分。我可以使用 获取正确的用户名ADSystemInfo，但该objGroup.IsMember函数始终返回 true。即使没有要检查的组。

我正在使用 Internet Explorer 11，并且网站（IIS 8.5、Windows Server 2012 R2）设置为对用户进行身份验证，即。匿名身份验证已禁用。

接下来我可以尝试什么？

所以这是我的配置（为简单起见进行了简化）：

设置：

我有两个 DC（编号列表供参考）：

1. DC=one,DC=company,DC=com
2. DC=two,DC=company,Dc=com

在他们每个人中，我都有几个小组：

1. DC=one,DC=company,DC=com
   1. one.company.com\some\folder\group1
   2. one.company.com\some\other\folder\group2
   3. one.comapny.com\some\different\folder\here\group3
2. <b>DC=two,DC=company,Dc=com
   1. two.company.com\some\folder\group4
   2. two.company.com\some\other\folder\group5

然后group1是以下成员：

• one.company.com\some\other\folder\group2
• one.comapny.com\some\different\folder\here\group3
• two.company.com\some\folder\group4

因此group1存在于one.company.comDC 中，并且是两个 DC 中都存在的组的成员：one.company.com和two.company.com.

问题

我试图弄清楚如何查询 ADgroup1并获取所有 DC 中它是 memberOf 的所有组？

这是我尝试过的各种 LDAP 调用的结果：

• <LDAP://DC=one,DC=company,DC=com>;(&(objectCategory=group)(objectClass=group)(name=group1));name,memberOf;subtree- 返回 2 个组，one.company.com但不返回组two.company.com
• <LDAP://DC=company,DC=com>;(&(objectCategory=group)(objectClass=group)(name=group1));name,memberOf;subtree- 错误（如预期）
• <GC://DC=company,DC=com>;(&(objectCategory=group)(objectClass=group)(name=group1));name,memberOf;subtree- 返回 1 组，two.company.com但不返回组one.company.com（但不知道为什么）
• <GC://DC=corp,DC=company,DC=com>;(&(objectCategory=group)(objectClass=group)(name=group1));name,memberOf;subtree- 返回 1 组，two.company.com但不返回组one.company.com（但不知道为什么）

我一直在尝试 2 天不让 openldap 覆盖的成员工作并给出一些实际结果。我的数据库配置：

然后

重新启动 slapd 并创建测试用户和测试组。然后ldap搜索看看结果：

并且仍然没有显示 memberof 属性。根据 openldap 文档，它应该就是这么简单 - 将 overlay memberof 添加到 slapd.conf 中，它应该可以工作。任何的想法？谢谢。

我试图在同一家公司的两个不同 Active Directory (AD) 域中获取组的所有成员。

为此，我首先从此处指定的 Active Directory 用户和计算机 (ADUC) 属性编辑器中获取每个组的完整专有名称 (DN) 。

第一组 DN 是：

第二组DN是：

然后我在 C# 中使用以下两个 LDAP 查询过滤器（我也在 ADUC 中尝试过）。

对于域first.company.com和第一组，我应用以下过滤器：

我按预期得到 123 个结果/

对于域second.company.com和第二组，我应用以下过滤器：

但是现在我只得到一个结果。我自己更详细。这不是预期的。

我确实知道通过在选择第二组后单击“成员”选项卡来在 ADUC 中找到预期结果的替代方法，但我需要一个 LDAP 过滤器来执行此操作，因为我想在 C# 中获取结果。

有人知道 $Customer 在做什么吗？美元在 LDAP 过滤器中的一般含义是什么？

我尝试了没有 Ou=$Customer 的过滤器，但它没有返回任何结果。

感谢您的帮助！

我有一个关于 Active Directory 中组的用户成员资格以及使用 PHP 获取此类成员资格的问题。我的大问题/情况是我正在制作一个网站，基本上我正在尝试根据 Active Directory 中的组分配管理员，我知道如何检查帐户状态的成员，但我的问题是有一些组没有显示在那里，并且没有显示的组之一是我需要的组。有没有办法可以检查谁是该组的成员，而不是检查该用户是否是该组的成员。或者，如果有人知道为什么某些组没有出现在我的搜索中，我更愿意以这种方式搜索成员资格，因为这样检查用户是否在该组中将是一个简单的逻辑语句，我的代码在下面，它确实有效，但正如我所说，某些组没有出现，我想我在某处读到了有关成员资格的存储方式以及它是否是直接成员资格或者您是否是某个组的成员是另一个组的成员。我们用作默认组的一个组是域用户，但没有人在 memberOf 数组中拥有该组，即使该组的成员资格是直接的，因为该组的成员都是用户而不是包含用户的其他安全组。

在这个程序的某个时刻，我需要将某些用户标记为“经理”，最简单的方法是如果他们是某个经理组的成员，则存储一个标志 VIA 会话变量，如上所述问题我遇到的是用户没有出现在他们的某些组中，所以这不起作用，可以访问经理的组没有出现在我的 MemberOf 区域中。在最后阶段，我将必须经过 5-6 组并将所有成员添加到数据库中，这是一个类似的问题，应该有类似的解决方案，所以如果我想出一个石头，也许我可以用 1 块石头杀死两只鸟也。我所说的这个问题的意思是我需要抓住一个组，比如“用户 HR”

代码：

编辑：

我一直在尝试使用本教程：samjlevy.com，我大部分都理解它，但我遇到了一些错误：

他们似乎都在搜索，因为它不工作它返回一个 NULL 集到结果，这不会允许其他部分运行。我不确定我的 $ldap_dn 是否正确，因为我使用的是上面 php 代码中的同一个。我的布局如下（我是新手，我相信这是正确的）：DC=company,DC=local 所以它应该是我想要的组：CN=Grouplooking For,OU=lowestLevel Ou,OU=Groups ,OU=公司,DC=公司,DC=本地

我必须将它用作我的 $ldap_dn 吗？

编辑2：（更新代码）

这段代码显示了用户所在的所有组并且运行良好，有没有办法编写第二个页面，使用类似的页面来获取其中一个组并从中获取所有成员？

第二页：这个页面应该找到一个组的成员，看起来它可能正在尝试这样做，但没有选择组的成员，而是我们的 OU 之一。看看下面的代码布局和它正在抓取什么。

所以我们的 DC 是 DC=CompanyName,DC=Local，然后我们有文件夹和 OU，其中一个 OU 被命名为“CompanyName”并嵌套在其中是 OU，例如管理员计算机、联系人、组等... OU我正在查看的是用户并嵌套在我们建筑物中的不同组织（他们使用我们的域）和一个为此项目制作的额外 OU。该项目的背景是一名员工 inoutBoard，因此我们在该 OU 中有 3 个安全组，一个用于其他组织的成员，一个用于我们组织的成员，一个用于我们组织及其组织的经理，基本上是可以改变的人如果他们忘记这样做，其他人的状态。我们理想情况下想要做的是有某种同步按钮，可以检查这些组的成员，然后将它们上传到数据库以及一些默认值，例如不在办公室的默认状态和没有描述或类似的东西. 这些组也不包含人员，它们包含其他安全组。这就是我们想要的工作，我们希望能够找到这些组的成员，如果我将 $ldap_dn 设置为“CN=Company,DC=Company,DC=Local”，我附加的第二个代码有时会起作用它将打印用户 OU 中的所有用户，然后进入那里的所有 OU 并打印这些 OU 中的用户，但我们实际需要的 OU 是具有 in out board 组的 OU。如果我将该路径指定为 $ldap_dn，它只会打印 array() 而没有其他内容。任何想法？它们包含其他安全组。这就是我们想要的工作，我们希望能够找到这些组的成员，如果我将 $ldap_dn 设置为“CN=Company,DC=Company,DC=Local”，我附加的第二个代码有时会起作用它将打印用户 OU 中的所有用户，然后进入那里的所有 OU 并打印这些 OU 中的用户，但我们实际需要的 OU 是具有 in out board 组的 OU。如果我将该路径指定为 $ldap_dn，它只会打印 array() 而没有其他内容。任何想法？它们包含其他安全组。这就是我们想要的工作，我们希望能够找到这些组的成员，如果我将 $ldap_dn 设置为“CN=Company,DC=Company,DC=Local”，我附加的第二个代码有时会起作用它将打印用户 OU 中的所有用户，然后进入那里的所有 OU 并打印这些 OU 中的用户，但我们实际需要的 OU 是具有 in out board 组的 OU。如果我将该路径指定为 $ldap_dn，它只会打印 array() 而没有其他内容。任何想法？在那里并打印来自那些 OU 的用户，但我们实际需要的 OU 是具有 in out board 组的 OU。如果我将该路径指定为 $ldap_dn，它只会打印 array() 而没有其他内容。任何想法？在那里并打印来自那些 OU 的用户，但我们实际需要的 OU 是具有 in out board 组的 OU。如果我将该路径指定为 $ldap_dn，它只会打印 array() 而没有其他内容。任何想法？

我刚刚安装了带有覆盖成员的 OpenLdap 2.4.44。我将覆盖配置为使用 uniquemember 和 groupOfUniqueNames 作为属性

问题是属性 memberOf 似乎只应用于组的第一个条目。如果我有一个包含多个 uniqueMember 的组，则当我通过 memberOf 进行查询时，只会返回第一个。如果我尝试获取任何其他条目的属性 memberOf，它会返回空，就像它不属于该组一样。任何想法？

我正在尝试从 AD 获取“程序员”组中的所有用户。

如果我使用目录条目 asLDAP://DC=Domain和 filter as memberOf=CN=Programmers,CN=Users,DC=Domain，我可以获得用户列表。

但是如果我直接使用 entry as LDAP://CN=Programmers,CN=Users,DC=Domain，我就得不到任何结果。

谁能告诉我为什么？

我之所以要使用它而不是“memberOf”过滤器，是出于性能考虑。但我不确定这是否真的会提高性能。那么第二个问题是：这两种方法之间有什么性能差异吗？

我试图让动态 memberOf 属性在我的内存中 ldap 服务器中工作。我使用的是标准版的 UnboundID。如果默认激活，我尝试使用以下 .ldif 文件：

基数.ldif：

修改.ldif：

当我这样做时 ldap-search: 搜索：

我没有得到答案中的成员：

所以默认情况下它没有被激活。

如何激活 UnboundID 中的 memberOf 属性？

顺便说一句：我不能像这里提到的那样使用动态组

我怎么能这样做：

从三个不同的列中选择值到嵌套表或其他类型的集合中......

...并参考列：

blockers-collection 中的一个employee_ID 可以有不止一行。

这必须使用 pl/sql 来完成。