LDAP:组织单位可以成为组的成员吗?

时间:2012-04-04 18:02:06

标签: ldap

我只是想知道,对于LDAP结构,组是否可以将组织单位作为成员?或者我几乎可以保证组对象下的任何内容都是用户或其他组?

还有以下保证吗?

1)用户的父母是组或组织单位
2)组的父母是组或组织单位 3)组织单位的父级是组织单位或根

谢谢,我仍然是LDAP新手。

2 个答案:

答案 0 :(得分:3)

使用groupOfUniqueNames objectClass,可选的多值属性uniqueMember可以是任何有效的可分辨名称,包括任何或所有RDN组件为ou的可分辨名称或organizationalUnit

另见

请注意,groupOfUniqueNames的某些实现需要uniqueMember,而其他实现则不需要。

答案 1 :(得分:2)

不,OU不能是LDAP组的成员
(至少不在Windows Active Directory中,这是我所知道的LDAP实现,我在这里谈论)

组织单位是容器,可以包含其他对象 - 安全主体,如用户和计算机帐户以及组。

容器也不能分配任何权限 - 它们不是安全主体,您不能授予文件或目录或类似内容的OU权限。

组可以包含安全主体作为其成员 - 其他组,用户或计算机 - 但不包含容器。无论如何,包括容器是没有意义的 - 因为那些不是“安全原则”,例如他们不能分配任何权限,因此将它们添加到组中也没有任何逻辑意义。

这与其他目录系统(如Novell的NDS / eDirectory)完全不同 - 组织和OU确实拥有权限(尽管我不记得您是否可以将这些对象添加到组的成员列表中)

此外,您需要将包含(一个组或用户始终包含只包含在一个容器中)和组成员身份(用户可以是多个组的成员) ,但他不是包含这些群体 - 只是其中的一员 - 这是两个完全不同的概念。