我不确定这是否可行,但我希望通过LDAP从AD中的给定OU获取以下子OU:
获取可以管理的所有OU(设置密码的权限,进行编辑 给定用户X的用户或组等。
要获取OU,我可以按(objectClass=organizationalUnit)
进行过滤,但如何根据管理权限进行过滤,是否有办法?
答案 0 :(得分:1)
我不认为这是可能的。管理权限存储在nTSecurityDescriptor
属性中的DACL中。为了执行访问检查,您必须评估DACL中的每个ACE,因为拒绝特朗普允许。您还必须知道用户所属的每个组,这需要自己查询tokenGroups
属性(或登录标记)。我不知道如何使用limited operators available构建一个LDAP查询,它将ACL的所有复杂性考虑在内。