使用objectSid michael@mycontoso.com搜索用户S-1-5-21-1234567890-123465789-123456789-123456,我只找到外部安全主体CN=S-1-5-21-1234567890-123465789-123456789-123456,CN=ForeignSecurityPrincipals,DC=contoso,DC=com。
那个外国安全主管不包含我必须阅读的属性,所以我想我必须访问" Home AD"那个FSP。
FSP是否具有始终包含用户对象的LDAP路径的属性? 是否有标准化/推荐的方式如何访问家庭AD?
答案 0 :(得分:3)
可悲的是,FSP不包含引用对象的LDAP路径。 (如果它包含一个,则在重命名/移动对象后需要复制它)
使用来自外部林的SID似乎没有简单的方法来取回包含AD。
如果在本地森林中,您可以通过绑定到LDAP://<SID=S-1-xxxxx>来完成。
一种不那么容易的方法是在域名地图中构建域名SID 遍历受信任林中的每个域,并使用此处的脚本构建地图(&#34;脚本解决方案&#34;部分)。
安全主体的SID采用<domain SID>-<RID>的形式
例如S-1-5-21-1234567890-123465789-123456789-123456的域名SID为S-1-5-21-1234567890-123465789-123456789。
通过提取域SID(如果在.NET中,您可以使用SecurityIdentifier类和AccountDomainSid属性)和地图,那么您可以找到包含域。
答案 1 :(得分:0)
您可以尝试检索msDS-PrincipalName:
ldapsearch <options> -b "CN=ForeignSecurityPrincipals,DC=contoso,DC=com" "CN=S-1-5-21-1234567890-123465789-123456789-123456" msDS-PrincipalName
FOO \ michael@mycontoso.com
否则,方法如https://stackoverflow.com/a/27038494/10408280所述: