gpt4 book ai didi

active-directory - LDAP 和 Active Directory 结果缺少某些结果的字段

转载 作者:行者123 更新时间:2023-12-04 12:44:23 25 4
gpt4 key购买 nike

当使用 LDAP 针对我们的 Active Directory 结构查询以查找用户帐户时,某些记录(但不是全部)缺少某些关键字段,特别是 memberOf 和 userAccountControl(它有一个指示帐户是否被禁用的位标志)。

以下是一些精炼细节:

  • 如果查询设置为过滤任何
    这些字段(例如获得
    非禁用帐户列表
    市场部组),他们
    从结果集中消失(因为
    就 AD 而言,他们是
    丢失的)。
  • 如果执行查询
    具有高特权域
    管理员帐户,查询工作正常
    美好的。
  • 有问题的记录约占用户记录总数的 1/4 - 1/3。大多数似乎是较新的记录(我们一度认为这可能与在域 Controller 服务器上升级到 2003 年有关),尽管一些较旧的记录似乎也受到影响。
  • 粗略查看两条相似的记录,一条记录可以被任何帐户查看,而另一条则没有显示出任何明显的差异。

  • 所以我最好的猜测是有某种权限拒绝集(可能在架构级别?),这使得某些字段受到限制。我应该注意到域管理员从不故意设置任何此类权限。

    更新/解决方案: ADSI Edit(在 Windows 2003 Support Tools 中)帮助我确定了对 Authenticated User 角色的默认权限的更改。对于某些人,该角色包含读取帐户限制(其中包含 userAccountControl)和读取组成员身份 (memberOf),而对于其他人则没有。

    差异的最初原因仍然不清楚,尽管大多数“坏”记录是在域 Controller 切换到 Windows 2003 之后创建的,这可能是一个因素。

    解决方案:这仍然有点未定,但很可能是更新的组策略,结合脚本来更新现有帐户。

    最佳答案

    您可以使用 adsi edit 检查特定用户的特定字段的权限。不知何故,必须已更改,您必须将它们恢复为默认值。也许他们在某些用户的 ou 级别发生了变化。在这种情况下,您可以批量修复它们。

    关于active-directory - LDAP 和 Active Directory 结果缺少某些结果的字段,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/286018/

    25 4 0
    Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
    广告合作:1813099741@qq.com 6ren.com