Appartenance à un groupe LDAP (y compris les Utilisateurs du Domaine)

Comment puis-je obtenir une liste des utilisateurs au sein d'un groupe LDAP, même si ce groupe qui arrive à être le groupe principal pour certains utilisateurs?

Par exemple, supposons que "Utilisateurs du Domaine" est "Domaine Leute" en allemand. Je veux que tous les membres de "CN=Domain Leute,DC=mycompany,DC=com". Comment puis-je savoir qui est le bien connu "Utilisateurs du Domaine" groupe?

Ou quoi, si certains utilisateurs de " groupe principal a été changé pour "CN=rebelles,DC=mycompany,DC=com", et je voulais avoir des membres de ce groupe? Les utilisateurs n'ont pas membre de la propriété de leur groupe principal et le principal groupe de ne pas avoir un membre de la liste de propriété.

C'est ce que je vois quand consultés via le protocole LDAP (c'est à dire, pas de MS extensions):
Appartenance à un groupe LDAP (y compris les Utilisateurs du Domaine)

OriginalL'auteur DougN | 2010-12-14

4

Vous avez besoin de savoir primaryGroupToken de l'objet de Groupe d'abord. Si vous utilisez l'utilitaire adsi edit, vous devez assurez-vous d'avoir "Construit" filtre à voir cet attribut calculé. Pour les Utilisateurs du Domaine, le primaryGroupToken devrait être 513.

Ensuite, vous ont besoin de trouver tous les utilisateurs avec primaryGroupID fixé à cette valeur. Voici la requête ldap, vous devez écrire à savoir tous les utilisateurs avec les Utilisateurs du Domaine défini comme groupe primaire.
```
(&(objectCategory=person)(objectClass=user)(primaryGroupID=513))
```
MODIFIER

Voici les étapes pour montrer primaryGroupToken dans le Navigateur LDAP. Je suis à l'aide de LDAP browser 2.6 construire 650. Cliquez-droit sur votre profil et cliquez sur propriétés

Aller à LDAP onglet Paramètres et cliquez sur le bouton Avancé.

Ajouter un attribut opérationnel primaryGroupToken

Cliquez sur Appliquer bouton et fermer la page de propriétés. Maintenant, vous devriez voir le primaryGroupToken dans votre groupe d'objet.

Et c'est en fait ma question-comment trouver le primaryGroupToken de tout groupe donné? (Espérons-le à l'aide de LDAP appels)
S'il vous plaît laissez-moi savoir quels sont les outils que vous utilisez. Je pourrais obtenir de l'aide ldp.exe, adsiedit.msc ou même le code C#. Je ne sais pas quel problème que vous rencontrez lorsque vous essayez de récupérer primaryGroupToken
Je suis à la recherche d'CN=Utilisateurs du Domaine,CN=Utilisateurs,DC=mondomaine. Je suis en utilisant Softerra LDAP Browser (gratuit -- très bien aussi), si pur LDAP sans MS extensions. Pas d'attributs que l'égalité 513 ou pourrait même être tordu en un 513 🙂
Je viens de télécharger le Navigateur LDAP et il fonctionne aussi mais il a besoin d'une configuration supplémentaire. Vous avez besoin de faire un clic droit sur votre profil et voir les propriétés. À l'intérieur de la page de propriétés, allez à l'onglet paramètres LDAP. Cliquez sur le bouton Avancé. Aller à l'Affiche onglet Attributs. Assurez-vous que l'Affichage des attributs d'opération est sélectionnée. Ensuite, vous pouvez cocher la case "Affichage supplémentaire attributs opérationnels à partir de la liste ci-dessous. Cliquez sur le Nouveau bouton et ajouter "primaryTokenGroup".
Quel est le problème avec ma réponse? Pourquoi ne pouvez-vous pas accepter?

OriginalL'auteur Harvey Kwok
5

Pour obtenir la primaryGroupToken de tout groupe donné l'extraire de la objectSid ainsi, par exemple Utilisateurs du Domaine objectSid = S-1-5-21-704657944-2065781323-617630493-513 puis le primaryGroupToken est le dernier chiffres après le "-" dans le cas de la "Utilisateurs du Domaine" son 513

OriginalL'auteur Raymund

C'est un PS script que j'ai fait pour faire exactement cela:

[void][System.Reflection.Assembly]::LoadWithPartialName("System.DirectoryServices");

$groupName = "Grupo Domain";

$directoryEntry = New-Object System.DirectoryServices.DirectoryEntry;
$directorySearcher = New-Object System.DirectoryServices.DirectorySearcher($directoryEntry, "(&(objectClass=group)(CN=$groupName))");
[void]$directorySearcher.PropertiesToLoad.Add("objectSid");
[void]$directorySearcher.PropertiesToLoad.Add("member");
$result = $directorySearcher.FindOne();

if ($result -eq $null) { return; }

# Try get the group members through the "member" property.
if ($result.Properties["member"].Count -gt 0) {
    foreach ($member in $result.Properties["member"]) {
        $memberSearcher = New-Object System.DirectoryServices.DirectorySearcher($directoryEntry, "(&(objectClass=*)(distinguishedName=$member))");
        [void]$memberSearcher.PropertiesToLoad.Add("msDS-PrincipalName");
        $memberResult = $memberSearcher.FindOne();
        if ($memberResult -eq $null) { continue; }
        Write-Output $memberResult.Properties["msDS-PrincipalName"];
    }
    return;
}
if ($result.Properties["objectSid"].Count -gt 0) {
    # The group might be an AD primary group. Try get the members by the PrimaryGroupID.
    $groupSid = New-Object System.Security.Principal.SecurityIdentifier($result.Properties["objectSid"][0], 0);
    # Hacky way to get only the last RID.
    $primaryGroupSid = $groupSid.Value.Replace($groupSid.AccountDomainSid.ToString(), [String]::Empty).TrimStart('-');
    $memberSearcher = New-Object System.DirectoryServices.DirectorySearcher($directoryEntry, "(&(objectClass=*)(primaryGroupId=$primaryGroupSid))");
    [void]$memberSearcher.PropertiesToLoad.Add("msDS-PrincipalName");
    $memberResult = $memberSearcher.FindAll();
    if ($memberResult -eq $null) { continue; }
    foreach ($member in $memberResult) {
        Write-Output $member.Properties["msDS-PrincipalName"];
    }
}

OriginalL'auteur Vinicius

Vous devez vous connecter pour publier un commentaire.