我在Microsoft AD服务器中有一个用户/组的SID字符串。现在从这个SID字符串,是否可以检查它是属于用户还是组,如果它是一个组,是否可以获得该组的成员?
无论我能搜索什么,我都只能反过来;即,成员所属的所有组。但我需要的是获取给定组的所有成员(其SID已知)的方法。
编辑:我在Linux上使用openldap来与AD服务器通信。
答案 0 :(得分:0)
以下工作不会吗?按objectsid查找用户,然后查看"memberof“字段。
ldapsearch -vvv -h <ad-server> -p <port> -D <bindn> -w <passwd> -b <basedn> "objectSid=<sid>" memberOf
如果您拥有该群组的SID,则可以根据objectsid查找该群组,然后查看"member“字段
ldapsearch -vvv -h <ad-server> -p <port> -D <bindn> -w <passwd> -b <basedn> "objectSid=<sid>" member