#active-directory
#active-directory
Вопрос:
Я запускаю запрос (memberof=CN=Domain Users,DC=MYDOMAIN, DC=MYCOM)
но он возвращает нулевой результат, тот же запрос, если я запускаю для другой группы, возвращает результаты.
Ответ №1:
Насколько я понимаю, когда вы создаете пользователя, он по умолчанию является членом Domain Users
. Вы не можете увидеть это в memberOf
атрибуте, но вы можете увидеть это в primaryGroupID (513=(GROUP_RID_USERS))
. Вы не сможете подавить его, если не добавите группу и не сделаете ее primaryGoup для данного пользователя.
Команда, подобная следующей, может позволить вам создать список пользователей, принадлежащих Domain Users
.
ldifde -f file.ldf -d "ou=Monou,dc=dom,dc=fr" -r "(amp;(objectclass=user)(|(primaryGroupID=513)(memberOf=CN=Utilisateurs du domaine,CN=Users,DC=dom,DC=fr)))"
Будьте осторожны
- Здесь используются французские имена («Утилизаторы домена»= «Пользователи домена»)
- в моей Windows 2008 R2 я должен выполнить команду ldifde как,
Administrator
чтобы иметь возможность фильтровать поmemberOf
атрибуту.
Изменение основной группы.
Существует только ОДНА основная группа. Вы можете изменить основную группу. Для этого вы добавляете пользователя в другую группу и делаете его основным. Тогда основная группа будет заменена на удаление другой группы
Здесь под основной группой находится MonGroupe
.
Вы можете увидеть RID, когда он выбран в качестве основной группы.
Комментарии:
1. итак, каким будет запрос для получения пользователей из этой группы пользователей домена, если я использую атрибут primaryGroupID?
2. Извините, у меня проблемы с доступом в Интернет, я завершаю ответ.
3. Спасибо JPBlank :), еще один вопрос, есть ли какой-либо способ создать другую основную группу? также, если основная группа будет изменена на какую-либо другую, запрос будет таким же primayGroupId = 513 ???
4. Я сталкиваюсь с той же проблемой и нахожу здесь. Спасибо за этот ответ. В ссылке сказано то же самое. Фильтр ldap
(amp;(objectCategory=person)(objectClass=user)(primaryGroupID=513))
может получить список учетных записей вDomain Users
группе.
Ответ №2:
Да, это известная проблема. Domain Users
Обычно это так называемая группа по умолчанию для новых пользователей. Это имя группы по каким-либо причинам не добавляется в обычный список групп, членом которых является пользователь — это всегда запутанный особый случай, который необходимо обрабатывать отдельно.
Для получения дополнительной информации см. в разделе «Группы по умолчанию для Technet AD».
К сожалению, я не думаю, что есть какой-либо простой способ заставить это работать….