【发布时间】:2011-04-22 11:25:08
【问题描述】:
我运行一个查询(memberof=CN=Domain Users,DC=MYDOMAIN, DC=MYCOM)
但它返回零结果,如果我为其他组运行相同的查询它返回结果。
【问题讨论】:
标签: active-directory
【发布时间】:2011-04-22 11:25:08
【问题描述】:
据我了解,当您创建用户时,默认情况下它是Domain Users 的成员。您在memberOf 属性中看不到它,但您可以在primaryGroupID (513=(GROUP_RID_USERS)) 中看到它。除非您添加一个组并将其设为给定用户的 primaryGoup,否则您无法抑制它。
像下面这样的命令可以让你建立属于Domain Users的人的列表。
ldifde -f file.ldf -d "ou=Monou,dc=dom,dc=fr" -r "(&(objectclass=user)(|(primaryGroupID=513)(memberOf=CN=Utilisateurs du domaine,CN=Users,DC=dom,DC=fr)))"
小心
- 这里使用的是法语名称(“Utilisateurs du domaine”="Domain Users")
- 在我的 Windows 2008 R2 我必须运行 ldifde 命令为
Administrator才能过滤memberOf属性。
更改主要组。
只有一个主要组。您可以更改主要组。为此,您将用户添加到另一个组并使其成为主要组。然后Primary group将更改为其他组的RID
这里主要组下是MonGroupe。
当它被选为主要组时,您可以看到 RID。
【讨论】:
-
如果我使用 PrimaryGroupId 属性,从该域用户组获取用户的查询是什么?
-
对不起,我的互联网访问出现问题,我完成了答案。
-
Thanx JPBlank :),还有一个问题是有什么方法可以创建不同的主要组吗?此外,如果主要组更改为其他组,查询将相同 primayGroupId = 513 ???
-
我遇到了同样的问题,在这里找到。感谢您的回答。 The link 说了同样的话。 ldap 过滤器
(&(objectCategory=person)(objectClass=user)(primaryGroupID=513))可以获取Domain Users组中的账户列表。
是的,这是一个已知问题。 Domain Users 通常是新用户的所谓默认组。无论出于何种原因,该组名都没有添加到用户所属的组的常规列表中 - 它始终是一个需要单独处理的混乱特殊情况。
有关详细信息,请参阅 Technet AD Default Groups。
不幸的是,我认为没有任何简单的方法可以完成这项工作....
【讨论】: