设置:
有一个中央AD域(CENTRAL)和多个独立的森林,每个森林都有自己的域(BRANCH1,BRANCH2,BRANCH3)
CENTRAL和所有其他域之间存在双向域信任。
我正在处理的应用程序在CENTRAL域上运行,并使用凭据CENTRAL \ ldapreader在所有域上执行LDAP搜索。
这适用于CENTRAL和BRANCH1,但BRANCH2和BRANCH3拒绝连接时出现无效的凭据错误。如果搜索使用这些域中的帐户(BRANCH2 \ ldapreader等),那么搜索工作正常。
将AD读取为LDAP服务器需要多少级别的权限?我发现的所有东西都表明这是允许的自动化用户,由于双向信任,它应该可以与CENTRAL \ ldapreader一起使用,但这不是我们得到的行为。
答案 0 :(得分:5)
我认为您正在寻找的许可是“列出内容”。您应确保“CENTRAL \ ldapreader”拥有BRANCH2和BRANCH3的此权限。
我想知道您是否使用选择性身份验证或林范围身份验证设置信任,以及您是否可以手动浏览BRANCH2和BRANCH3。