我有一个与此类似的域名结构:
DC=us,DC=earth,DC=com
DC=uk,DC=earth,DC=com
DC=au,DC=earth,DC=com
每个域都有一个用户OU和一个组OU。
每个域都有用户(us,uk,au)01到10,即us01,us02,....,uk01,uk02,....,au01,au02 ..
有一个小组:
cn=group1,ou=groups,DC=uk,DC=earth,DC=com
us01,uk01和au01是
的成员cn=group1,ou=groups,DC=uk,DC=earth,DC=com.
我正在尝试运行LDAP查询以返回
的所有成员cn=group1,ou=groups,DC=uk,DC=earth,DC=com
我认为“DC = earth,DC = com”的基本DN带有滤波器
memberof=cn=group1,ou=groups,DC=uk,DC=earth,DC=com"
应该可以工作,但不是。
我做错了什么?有可能吗?
我正在使用JXplorer进行测试。
此外,我只能查询/返回本地域中包含的对象,即如果我使用earth.com作为BASE DN,我只能“看到”返回的地球域中的对象。它似乎无法横向子域。这是正常的吗?
我也无法查看兄弟域中的对象,即当使用au域作为BASE DN时,我无法看到uk用户。我认为这是正确的,因为BASE DN需要在其SUBTREE中具有AD对象才能“看到”它们。这是对的吗?
答案 0 :(得分:2)
看起来您要包含要在过滤器中返回的属性。尝试使用cn=group1,ou=groups,DC=uk,DC=earth,DC=com作为基础,范围为BASE,过滤器为(*objectclass=*)(这样可以直接转到您要查询的群组)。然后从搜索返回的条目中获取包含成员列表的属性。
至于您能够遍历哪些子域,这可能取决于应用于树的ACL(访问控制列表),或者它可能只是Jxplorer中的怪异。 IMO,Jxplorer是垃圾。
是的,无论您使用什么工具,您都只能看到以下定义为BASE DN的条目。
答案 1 :(得分:2)
由于您位于不同的域中,因此您需要能够追踪推介。我不知道Jxplorer的功能,是否可以自动追踪推荐。
正如蒂姆A所说,你需要确保你有权利访问你想要达到的所有背景。 -Jim
答案 2 :(得分:0)
可能为时已晚,但我正在努力解决同样的问题。我试图获取组的所有用户,但它不返回任何内容,因为该组的所有用户都在子域下。微软支持称“这是不可能的”。他们建议对每个子域执行搜索。链接如下;
我还发现,如果网络上运行了正确的全局编录服务器,则可以通过一个查询从所有子域获取结果。使用端口3268而不是389进行LDAP连接,可以使用所有子域树查询全局编录。