Блог

Я запускаю запрос (memberof=CN=Domain Users,DC=MYDOMAIN, DC=MYCOM)

но он возвращает нулевой результат, тот же запрос, если я запускаю для другой группы, возвращает результаты.

Насколько я понимаю, когда вы создаете пользователя, он по умолчанию является членом Domain Users . Вы не можете увидеть это в memberOf атрибуте, но вы можете увидеть это в primaryGroupID (513=(GROUP_RID_USERS)) . Вы не сможете подавить его, если не добавите группу и не сделаете ее primaryGoup для данного пользователя.

Команда, подобная следующей, может позволить вам создать список пользователей, принадлежащих Domain Users .

 ldifde -f file.ldf -d "ou=Monou,dc=dom,dc=fr" -r "(amp;(objectclass=user)(|(primaryGroupID=513)(memberOf=CN=Utilisateurs du domaine,CN=Users,DC=dom,DC=fr)))"
  

Будьте осторожны

1. Здесь используются французские имена («Утилизаторы домена»= «Пользователи домена»)
2. в моей Windows 2008 R2 я должен выполнить команду ldifde как, Administrator чтобы иметь возможность фильтровать по memberOf атрибуту.

Изменение основной группы.

Существует только ОДНА основная группа. Вы можете изменить основную группу. Для этого вы добавляете пользователя в другую группу и делаете его основным. Тогда основная группа будет заменена на удаление другой группы

Здесь под основной группой находится MonGroupe .

Вы можете увидеть RID, когда он выбран в качестве основной группы.

Да, это известная проблема. Domain Users Обычно это так называемая группа по умолчанию для новых пользователей. Это имя группы по каким-либо причинам не добавляется в обычный список групп, членом которых является пользователь — это всегда запутанный особый случай, который необходимо обрабатывать отдельно.

Для получения дополнительной информации см. в разделе «Группы по умолчанию для Technet AD».

К сожалению, я не думаю, что есть какой-либо простой способ заставить это работать….