LDAP查询以获取给定用户的所有OU具有委派权限

时间:2012-12-05 13:01:11

标签: active-directory ldap-query

我不确定这是否可行,但我希望通过LDAP从AD中的给定OU获取以下子OU:

  

获取可以管理的所有OU(设置密码的权限,进行编辑   给定用户X的用户或组等。

要获取OU,我可以按(objectClass=organizationalUnit)进行过滤,但如何根据管理权限进行过滤,是否有办法?

1 个答案:

答案 0 :(得分:1)

我不认为这是可能的。管理权限存储在nTSecurityDescriptor属性中的DACL中。为了执行访问检查,您必须评估DACL中的每个ACE,因为拒绝特朗普允许。您还必须知道用户所属的每个组,这需要自己查询tokenGroups属性(或登录标记)。我不知道如何使用limited operators available构建一个LDAP查询,它将ACL的所有复杂性考虑在内。