对于来自受信任域的用户,ldap查询存在一些问题:
我有两个完全独立的域:
DomainA (dc=mycity, dc=mycompany, dc=local)
和
DomainB (dc=test, dc=somewhat, dc=local).
DomainB信任DomainA(一种方式)。
这两个域均已设置并由客户控制。
DomainA具有全局组„fs“,并且某些用户(例如,user1和user2,这两个都是DomainA成员)都是该组的成员。
DomainB具有本地组„companyusers“,并且fs被添加为成员。
此本地组是另一个组的成员(例如„admins“或„servicedesk“)。
现在,当我查询DomainB并将过滤器设置为(sMAAccountname = user1)时,没有任何结果。当我用
(memberof=CN=companyusers,CN=users,dc=test,dc=somewhat,dc=local)
或
(memberof:1.2.840.113556.1.4.1941:=CN=companyusers,CN=users,dc=test,dc=somewhat,de=local)
我仍然看不到DomainA一部分的用户。
[“ CN = companyusers,CN = users,dc = test,dc =有点,de = local”
是我用
进行查询时的路径(&(objectClass=group)(name=companyusers))]
答案 0 :(得分:0)
能够跨AD域执行LDAP查询的概念很复杂,并且具有多个依赖性。
要跨域执行LDAP查询,必须必须位于同一AD Forrest中,因此您需要连接到Global Catalog。
您可以使用以下LDAP查询找到托管全局编录的域控制器的专有名称:
(&(objectClass=nTDSDSA)(options:1.2.840.113556.1.4.803:=1))
除非所有Group Types都是通用组,否则LDAP查询将仅工作组成员。
最后,1.2.840.113556.1.4.1941(LDAP_MATCHING_RULE_IN_CHAIN)过滤器仅对基于专有名称的属性起作用。