2012-06-29 83 views
0

我想從「域用戶」,所有組成員。當使用AD用戶MMC選項卡時,我得到了很多結果。使用ADSI時 - 不是。以下方法無法按預期工作:檢索組成員從Active Directory /會員當會員ATTRIB不起作用

  • 通過LDAP/ADSI查看組條目的成員屬性。當有相當多時,它只返回56個成員。
  • 搜索通過的memberOf(返回只是幾個條目)
  • 由primaryGroup搜索(它不是一個主組)
  • 由tokenGrops搜索(它是一個構造的屬性)

理解任何想法。

+0

也許你可以發佈您的代碼,以便我們能夠看到你在做什麼。 –

+1

您確定您的用戶的主要羣組不是「域用戶」嗎?通常情況下,情況就是這樣,除非你故意改變它。還要注意'Domain Users'的primaryGroupToken是513.因此,做這個LDAP查詢應該會讓你把所有主用戶設置爲'Domain Users'的用戶(&(objectCategory = person)(objectClass = user)(primaryGroupID = 513))' –

+0

因此,域用戶的objectSID是「1234567890-513」,並且我知道根據ADUC屬於它的用戶的primaryGroup是「513」。根據ADUC,不屬於域用戶的控制用戶是123940. 通過ADSIedit檢索primaryGroup的值。這是否意味着在域名情況下 - RID 513是SID「1234567890-513」? – Konrads

回答

2

(我剛纔讀更仔細一看,你mentioend這不是主要組...但我懷疑這就是答案反正:))

還有另一種機制,通過它用戶可以成爲組的成員,並且由組中的用戶的primaryGroupID屬性控制。

如果用戶的primaryGroupID設置爲某個RID一組,用戶在功能組中,即使他們沒有在組的成員屬性顯示。像ADUC這樣的工具足夠明智地尋找這個。當你在堆棧中稍微降低一點,並通過LDAP打開目錄時,由你來決定是否足夠聰明,去尋找它。

你可以做這個搜索或在藉此到帳戶的目錄使用構造屬性。

+0

Eric&@Harvey_Kwok是對的。從本質上講,當您查看域用戶SID時,它不是「513」,而是整個S-1-5-21-3623811015-3361044348-30300820-513。雖然SAM帳戶的primaryGroupID屬性將不得不通過LDAP查詢當僅RID部分返回,因此,搜索(primaryGroupID = S-1-5-21-3623811015-3361044348-30300820-513)將失敗,而(primaryGroupID = 513)將會成功。 謝謝大家! – Konrads

相關問題