我有一个像demo.com这样的森林。在林中包含两个域,分别是first.demo.com和second.demo.com,然后我在first.demo.com中有几个用户,并使用该用户创建了一个组。我再次使用first.demo.com用户在second.demo.com中创建了一个组。我想使用LDAP查询来获取两个组。
答案 0 :(得分:0)
运行ldap查询时,将查询LDAP分区,即DC=first,DC=demo,DC=com
。分区DC=second,DC=demo,DC=com
可能在同一林中,但位于另一个域控制器上,并且是特定分区。
全局目录包含整个目录林的信息,但是由于它包含目录林中的所有用户和组,因此不会记录某些属性(以减小其大小)。
如果您查询不在全局目录中的属性,我的建议是您应编写ldap查询的脚本,如下所示:
查询林域根目录以获取林中所有域的列表
对于每个域,运行ldap查询
在这里找到了这个答案:How to find trusted domain groups using Ldap query