【发布时间】:2012-04-05 03:32:46
【问题描述】:
我只是想知道,对于 LDAP 结构,组是否可以有一个组织单位作为成员?还是我几乎可以保证 group 对象下的任何内容都是用户或另一个组?
还有以下保证吗?
1) 用户的父级是组或单位部门
2) 组的父组是组或组织单位
3) 组织单元的父级是组织单元或根
谢谢,我对 LDAP 还是很陌生。
【问题讨论】:
标签: ldap
【发布时间】:2012-04-05 03:32:46
【问题描述】:
使用groupOfUniqueNames objectClass,可选的多值属性uniqueMember可以是任何有效的专有名称,包括其中任何或所有RDN组件为ou或organizationalUnit的专有名称。
另见
请注意,groupOfUniqueNames 的某些实现需要uniqueMember,而另一些则不需要。
【讨论】:
-
谢谢。但如果实现不包括 uniqueMember,我将如何识别它们?另外,当organizationUnit 没有uniqueMember 属性时,如何识别文件夹的子文件夹?
-
organizationalUnit是一个不允许uniqueMember的对象类。groupOfUniqueNames允许(或在某些情况下需要)uniqueMember。groupOfUniqueNames没有uniqueMember条目是没有意义的。总结一下:1)uniqueMember允许在具有groupOfUniqueNamesobjectClass 的条目中 2)uniqueMember必须具有 distinctName 值,因此,如果ou是可分辨名称中的 RDN,它可以用作uniqueMember的值。 -
这让事情变得更清楚了,但您之前说过并非所有实现都需要 uniqueMember。我是否应该假设一个正确的实现意味着一个条目是一个组的成员当且仅当它被列为一个 uniqueMember 时?此外,我仍然无法理解如何确定子文件夹的位置。我应该只查看文件夹的父 DN 来找到它的父文件夹吗?
-
Nvm,我决定一次只探索 LDAP 一个级别。
不,OU 不能是 LDAP 组的成员
(至少不在 Windows Active Directory 中,这是我知道的 LDAP 实现,我在这里谈论)
组织单位是容器,可以包含其他对象 - 安全主体,如用户和计算机帐户以及组。
容器也不能被分配任何权限 - 它们不是安全主体,您不能授予 OU 对文件或目录或类似内容的权限。
组可以包含安全主体作为其成员 - 其他组、用户或计算机 - 但不能包含容器。无论如何,包含容器是没有意义的——因为它们不是“安全主体”,例如他们不能被分配任何权限,因此将他们添加到组中也没有任何逻辑意义。
这与其他目录系统(例如 Novell 的 NDS / eDirectory)完全不同,其中组织和 OU 确实具有权限(尽管我不记得您是否可以将这些对象添加到组的成员列表中)
此外,您需要将 containment(组或用户始终包含在一个容器中)和组成员身份(一个用户可以是多个组的成员)分开,但他并没有被这些团体包含 - 只是其中的一员) - 这是两个完全不同的概念。
【讨论】:
-
不是真的,我自己做过。打开 AD 用户和计算机控制台 (dsa.msc)。在左侧选择一个具有子 OU 的 OU。在右侧窗格中选择一系列用户和一个 OU。如果所选范围中的第一项不是 OU,您可以使用工具栏中的“添加到组”按钮。正确填充了组的成员属性和 OU 的反向链接成员属性。
-
@Chalky 这只是矩阵中的一个小故障。我的意思是 UI。成员不会出现在组的“成员”选项卡下。