我想查询某个特殊群组成员的多米诺骨牌。组成员身份是为了更容易访问映射到人员记录上的dominoaccessgroups。
关于dominoaccessgroups的特别之处在于它是一个操作属性,并且在记录中出现的次数更多。
我尝试了以下查询。
(&(objectClass=dominoPerson)(!(dominoAccessGroups=CN=not_in_this_group)))
但我想要删除的人仍然在结果中。
查询中是否允许操作属性?
等号是否必须转义?
属性的多次出现是否有问题?
答案 0 :(得分:1)
您的语法似乎很好,但AFAIK您无法在搜索中使用dominoAccessGroups属性。它的行为类似于任何条目都不存在此属性。
通常也可以查询操作属性(例如displayName)。但是,如果查看LDAP模式数据库中dominoAccessGroups的属性描述:
条目属于安全性的所有组。只读 操作属性(过滤器中不允许)
我认为这是因为它的运作方式。每当您请求dominoAccessGroups时(如果您没有特别想要显示它就不会计算),它会递归计算组成员资格。与其他操作属性相比,它没有被多米诺骨牌场映射,也无法在全文索引中找到。