Я пытаюсь сделать запрос LDAP, чтобы получить список всех моих групп / участников. Я не могу понять, как мне это сделать. Все мои попытки были безуспешными.
Мое "дерево AD": mydomain.local / Mybusiness / Distribution Groups / вот мои группы
Я пробовал вот так:
(objectCategory=user)
(memberOf=CN=Distribution Groups,OU=Mybusiness,DC=mydomain.local,DC=com)
Я признателен, если бы кто-нибудь помог мне написать запрос ldap, который дает список с моими группами и членами этих групп.
Запрос должен быть:
(&(objectCategory=user)(memberOf=CN=Distribution Groups,OU=Mybusiness,DC=mydomain.local,DC=com))
Вы пропустили & и ()
domain, что и группа. Что, если я хочу видеть всех участников группы, независимо от domain?
- person Kevin Meredith; 03.04.2013
Active Directory не сохраняет членство в группах для пользовательских объектов. Он хранит только список участников группы. Инструменты показывают членство в группах для пользовательских объектов, выполняя для них запросы.
Как насчет:
(& (objectClass = группа) (member = cn = my, ou = full, dc = domain))
(Вы также забыли бит (&) в своем примере в вопросе).
Хороший способ получить всех участников из группы - сделать DN группы в качестве searchDN и передать атрибут «member» в качестве атрибута, чтобы попасть в функцию поиска. Теперь всех членов группы можно найти, просмотрев значения атрибутов, возвращаемые поиском. Фильтр можно сделать универсальным, например (objectclass = *).
member, однако, конечно, многие группы AD имеют гораздо больше участников, чем это. AD поддерживает ранжированное извлечение для извлечения всех атрибутов из групп AD с ›1500 (или 1000) участников.
- person sigint; 08.06.2016
