Requête pour la liste de tous les utilisateurs d'un certain groupe

Comment puis-je utiliser un filtre de recherche pour afficher les utilisateurs d'un groupe spécifique?

J'ai essayé ce qui suit:

(&
    (objectCategory=user)
    (memberOf=MyCustomGroup)
)

et ce:

(&
    (objectCategory=user)
    (memberOf=cn=SingleSignOn,ou=Groups,dc=tis,dc=eg,dc=ddd,D‌​C=com)
)

mais ni afficher les utilisateurs d'un groupe spécifique.

InformationsquelleAutor Madam Zu Zu | 2012-03-27
  1. 77

    memberOf (AD) est stockée sous forme d'une liste de distinguishedNames. Votre filtre doit être quelque chose comme:

    (&(objectCategory=user)(memberOf=cn=MyCustomGroup,ou=ouOfGroup,dc=subdomain,dc=domain,dc=com))

    Si vous n'avez pas encore le nom unique, vous pouvez rechercher avec:

    (&(objectCategory=group)(cn=myCustomGroup))

    et retourner l'attribut distinguishedName. Cas de la matière.

    • qu'est-ce que uo=ouOfGroup?
    • Généralement dans Active Directory, vous avez un certain nombre d'Unités d'Organisation qui contiennent la structure. La valeur par défaut de la racine OU de groupes de Groupes de. Il est probable que cn=MyCustomGroup,ou=Groupes,dc=sous-domaine,dc=domaine,dc=com va travailler pour vous. Si ça ne marche pas, je recommanderais de faire une recherche LDAP pour votre groupe (&(objectCategory=groupe)(cn=MyCustomGroup)) et dont l'attribut distinguishedName dans le jeu de résultats. Qui vous dira exactement ce que la chaîne à utiliser dans votre autre requête
    • j'ai fait ce que vous avez dit, mais je n'ai pas les résultats à l'aide de ce qui suit: (&(objectCategory=user)(memberOf=cn=SingleSignOn,ou=Groupes,dc=tis,dc=par exemple,dc=ddd,DC=com))
    • Avez-vous essayez de faire une recherche pour votre groupe pour s'assurer que vous avez le droit DN? Mon filtre serait (&(objectCategory=groupe)(cn=SingleSignOn)) et que la propriété d'être "distinguishedName". Assurez-vous que vous êtes à la recherche à partir de la racine du Domaine, non pas à l'Utilisateur (OU qui pourraient vous faire si votre filtre est pour les utilisateurs uniquement). Vous pouvez prendre le distinguishedName à partir de cette requête et de le brancher directement à votre requête de l'utilisateur.
    • uugghhh. je pense qu'il a été sensible à la casse... semble être au travail maintenant!!! :)) merci!!!!!!!!!!!
    • Heureux d'entendre, il est de travail.
    • Je ne pense pas que carter est le problème, c'est l'espace.
    • Serait-ce la valeur du paramètre-b à l'intérieur d'un ldapsearch dans le terminal? Pourriez-vous regarder ce: ldapsearch-x -D "cn=Camilo Q Barrero P789677,OU=Utilisateurs,OU=à la Technologie,OU=siège social,OU=Comptes,OU=Production,DC=aur,DC=national,DC=com,DC=ua" -w Teri3torz -H ldap://ldapaur.aur.national.com.au-b OU=Applications,OU=NAB,OU=groups,OU=Production,DC=aur,DC=national,DC=com,DC=ua "(&(objectClass=user)(memberOf=CN=NAB-Application-ContactCentre-NAB-PAC-Agent,OU=Applications,OU=NAB,OU=Groups,OU=Production,DC=aur,DC=national,DC=com,DC=au))"

    InformationsquelleAutor Kodra
  2. 11

    Pour les utilisateurs Active Directory, une autre façon de le faire serait, en supposant que tous les groupes sont stockés dans OU=Groups,DC=CorpDir,DC=QA,DC=CorpName -- d'utiliser la requête (&(objectCategory=group)(CN=GroupCN)). Cela fonctionne bien pour tous les groupes avec moins de 1500 membres. Si vous voulez la liste de tous les membres d'un grand groupe d'ANNONCES, la même requête fonctionnera, mais vous aurez à utiliser variait de récupération pour extraire tous les membres, 1500 enregistrements à la fois.

    La clé de l'exécution allaient extractions est de spécifier la plage dans les attributs à l'aide de cette syntaxe: attribut;gamme=bas-haut. Donc, pour récupérer tous les membres d'un Groupe d'ANNONCES avec plus de 3000 membres, tout d'abord exécuter la requête ci-dessus pour demander la member;range=0-1499 attribut être retournés, pour la member;range=1500-2999 attribut.

    • N'oubliez pas de préciser (CN=GroupCN). J'ai essayé de demander à tous les groupes et ça ne fonctionne pas jusqu'à ce que j'ai précisé cela. Aussi, vous pouvez utiliser l'astérisque lorsque vous spécifiez la plage: member;range=1500-* - il fonctionne aussi bien.
    InformationsquelleAutor sigint
  3. 0

    Si le DC est Win2k3 SP2 ou supérieur, vous pouvez utiliser quelque chose comme:

    (&(objectCategory=user)(memberOf:1.2.840.113556.1.4.1941:=CN=GroupOne,OU=Security Groups,OU=Groups,DC=example,DC=com))

    pour obtenir le imbriqués l'appartenance à un groupe.

    Source: https://ldapwiki.com/wiki/Active%20Directory%20Group%20Related%20Searches

    InformationsquelleAutor RobSiklos