1. Accueil
  2. Question et réponse
  3. Récupération des membres du groupe/appartenance à partir du répertoire actif lorsque les membres attrib ne fonctionnent pas

Récupération des membres du groupe/appartenance à partir du répertoire actif lorsque les membres attrib ne fonctionnent pas

2012-06-29 2 views
0

J'essaie d'obtenir tous les membres du groupe à partir de "Domain Users". Lorsque vous utilisez l'onglet MMC Utilisateurs AD, j'obtiens beaucoup de résultats. Lors de l'utilisation d'ADSI - pas. Ce qui suit ne fonctionne PAS comme prévu:Récupération des membres du groupe/appartenance à partir du répertoire actif lorsque les membres attrib ne fonctionnent pas

  • en regardant l'attribut membres de l'entrée de groupe via LDAP/ADSI. Il ne renvoie que 56 membres lorsqu'il y en a beaucoup plus.
  • recherche par memberOf (retourne quelques entrées)
  • recherche par primaryGroup (ce n'est pas un groupe primaire)
  • recherche par tokenGrops (il est un attribut construit)

toutes les idées appréciées.

Source

2012-06-29 Konrads

+0

Peut-être pourriez-vous poster votre code afin que nous puissions voir ce que vous faites. –

+1

Etes-vous sûr que le groupe principal de vos utilisateurs n'est pas "Utilisateurs du domaine"? Normalement, c'est le cas sauf si vous le changez délibérément. Notez également que primaryGroupToken pour 'Domain Users' est 513. Donc, cette requête LDAP devrait vous donner tous les utilisateurs avec le groupe primaire défini sur' Domain Users'' (& (objectCategory = person) (objectClass = user) (primaryGroupID = 513)) ' –

+0

Donc, le objectSID pour les utilisateurs de domaine est" 1234567890-513 "et primaryGroup pour un utilisateur dont je sais qu'il appartient à ADUC est" 513 ". L'utilisateur de contrôle qui n'appartient pas aux utilisateurs de domaine selon ADUC est 123940. Les valeurs de primaryGroup ont été récupérées par ADSIedit. Est-ce que cela signifie que dans le cas du domaine - RID 513 est SID "1234567890-513"? – Konrads

Répondre

2

(je viens de lire plus attentivement et vu que vous mentioend ce n'est pas un groupe primaire ... mais je me méfie c'est la réponse de toute façon :))

Il y a un autre mécanisme par lequel un utilisateur peut être membre d'un groupe et contrôlé par l'attribut primaryGroupID de l'utilisateur du groupe.

Si le primaryGroupID d'un utilisateur est défini sur un RID d'un groupe, l'utilisateur est fonctionnellement dans le groupe, même s'il n'apparaît pas dans l'attribut de membre du groupe. Des outils comme ADUC sont assez sages pour chercher cela. Lorsque vous descendez un peu plus bas dans la pile et que vous accédez au répertoire via LDAP, il vous appartient d'être assez intelligent pour aller le chercher.

Vous pouvez faire des recherches pour cela ou utiliser des attributs construits dans le répertoire qui en tiennent compte.

Source

2012-06-30 05:26:01

+0

Eric et @Harvey_Kwok avaient raison. Essentiellement, quand vous regardez SID Utilisateurs du domaine, ce n'est pas "513", c'est l'ensemble S-1-5-21-3623811015-3361044348-30300820-513. Alors que l'attribut primaryGroupID d'un compte SAM n'aura que la partie RID renvoyée lors de la requête via LDAP, la recherche de (primaryGroupID = S-1-5-21-3623811015-3361044348-30300820-513) échouera alors que (primaryGroupID = 513) va réussir. Merci à tous! – Konrads

Questions connexes

 Questions connexes