LDAP：如何讓所有的用戶和組從Active Directory

Question

我試圖讓所有的用戶和他們相關聯基團從的Active Directory服務器，使用LDAP查詢。顯然，活動目錄不給我主要的用戶羣。例如，該搜索：

(objectclass=user) 

產生這樣的結果：

# Test User, Users, sub.domain.net 
dn: CN=Test User,CN=Users,DC=sub,DC=domain,DC=net 
.... 
memberOf: CN=Domain Admins,CN=Users,DC=sub,DC=domain,DC=net 
memberOf: CN=Administrators,CN=Builtin,DC=sub,DC=domain,DC=net 
.... 
primaryGroupID: 515 
.... 

該用戶的主組是測試組（I知道這是因爲我在創建該用戶/組對）讓我們看看那個：

# Test Group, Users, sub.domain.net 
dn: CN=Test Group,CN=Users,DC=sub,DC=domain,DC=net 
objectClass: top 
objectClass: group 
cn: Test Group 
distinguishedName: CN=Test Group,CN=Users,DC=sub,DC=domain,DC=net 
instanceType: 4 
whenCreated: 20101014151945.0Z 
whenChanged: 20101015141656.0Z 
uSNCreated: 41007 
uSNChanged: 41133 
name: Test Group 
objectGUID:: aQH58S0MWU2Fu/Cli72u0A== 
objectSid:: AQUAAAAAAAUVAAAAIzgCYuz3AhjZk27UXgQAAA== 
sAMAccountName: Test Group 
sAMAccountType: 268435456 
groupType: -2147483646 
objectCategory: CN=Group,CN=Schema,CN=Configuration,DC=sub,DC=domain,DC=net 
dSCorePropagationData: 16010101000000.0Z 

我該如何將用戶與他們的主要組關聯？列出用戶屬性時的所有內容都是primaryGroupID屬性，但其值無法在整個LDAP數據庫中找到（objectclass=*）。

Answer 1

這是錯誤的語言，但這個知識庫文章專門關於使用primarygroupID屬性找到主組的SID會談：

How to use the PrimaryGroupID attribute to find the primary group for a user

您可以使用，作爲一個起點你自己的代碼。

Answer 2

關於如何設置一個用戶的主組可以給你一些結論，這（VBScript）的例子：

oGroup.GetInfoEx Array("primaryGroupToken"), 0 
oUser.PrimaryGroupID = oGroup.PrimaryGroupToken 
oUser.SetInfo 

正如你看到的，你必須將用戶的PrimaryGroupID屬性相匹配的的PrimaryGroupToken財產組（&（objectclass = group）（PrimaryGroupToken = UsersPrimaryGroupID））或類似的。