如何获取 Active Directory 中内置组的成员？答案

【问题标题】：How to get memberof of a built-in group in Active Directory?如何获取 Active Directory 中内置组的成员？
【发布时间】：2019-05-05 13:06:19
【问题描述】：

我试图获取某个组的所有用户帐户。为此，我使用了以下过滤器：

BASEDN:  DC=example,DC=com
FILTER:  (&(memberof=CN=Myusers,DC=example,DC=com)(objectclass=user)(objectcategory=person))

效果很好。但我也想获得内置组的用户，例如Domain Users,Domain Admins 等。当我尝试使用相同类型的过滤器时

BASEDN:  DC=example,DC=com
FILTER:  (&(memberof=CN=Domain Users,CN=Users,DC=example,DC=com)(objectclass=user)(objectcategory=person))

对于这些内置组，它不起作用。为什么会这样？

【问题讨论】：

标签： active-directory ldap openldap

【解决方案1】：

大多数方法不会显示“主要”组的成员身份。

LDAPWIKI 为所有将“Domain Users”指定为其“主要”用户的 Microsoft Active Directory 的 LDAP 查询示例，搜索所有 primaryGroupID 属性为 513 的用户（默认情况下）。 “域用户”组的 primaryGroupID 属性是相同的整数，513。LDAP 语法 LDAP SearchFilter 可以是：

(primaryGroupID=513)

【讨论】：

在我写的一篇文章中有一个如何在 C# 中执行此操作的示例：Active Directory: Finding all of a user’s groups
@GabrielLuci - 干得好。喜欢代码，解释很有帮助。