【发布时间】:2012-06-29 12:46:05
【问题描述】:
我正在尝试从“域用户”中获取所有组成员。使用 AD 用户 MMC 选项卡时,我得到了很多结果。当使用 ADSI - 不是。以下内容无法按预期工作:
- 通过 LDAP/ADSI 查看组条目的成员属性。当有更多成员时,它只返回 56 个成员。
- 按 memberOf 搜索(仅返回几个条目)
- 按primaryGroup搜索(不是主要组)
- 通过tokenGrops搜索(它是一个构造属性)
任何想法表示赞赏。
【问题讨论】:
-
也许您可以发布您的代码,以便我们可以看到您在做什么。
-
您确定您的用户的主要组不是
Domain Users?通常情况下,除非您故意更改它,否则就是这种情况。另请注意,Domain Users的 primaryGroupToken 是 513。因此,执行此 LDAP 查询应该为您提供所有主组设置为Domain Users(&(objectCategory=person)(objectClass=user)(primaryGroupID=513))的用户 -
因此,域用户的 objectSID 是“1234567890-513”,我知道根据 ADUC 属于它的用户的 primaryGroup 是“513”。根据 ADUC,不属于域用户的控制用户是 123940。primaryGroup 的值由 ADSIedit 检索。这是否意味着在域情况下 - RID 513 是 SID“1234567890-513”?
标签: active-directory adsi