Какие разрешения требуются для перечисления групп пользователей в Active Directory

19

У меня есть веб-приложение .net, которому нужно получить группы, в которые входит пользователь, в Active Directory.

Для этого я использую атрибут memberOf в записях пользователей.

Мне нужно знать разрешения, необходимые для чтения этого атрибута во всех записях пользователей.

В настоящее время я получаю противоречивые результаты при попытке прочитать этот атрибут. Например, у меня есть группа из 30 пользователей в одном и том же пути OU. Используя свои собственные учетные данные для запроса AD - я могу прочитать атрибут memberOf для некоторых пользователей, но не для других. Я знаю, что у всех пользователей установлен атрибут memberOf, который я проверял при входе в систему с учетной записью администратора домена.

Адам Дженкин
источник

Ответы:

26

На вашем доменном объекте вам нужно назначить запрашивающему пользователю право «Read MemberOf» на пользовательские объекты.

  • Откройте AD U & C перейдите к объекту вашего домена
  • Щелкните правой кнопкой мыши и перейдите к свойствам:

    ADU-пс-домен

  • Вкладка «Безопасность», нажмите «Дополнительно»
  • Нажмите Добавить
  • Введите имя пользователя для добавления
  • Нажмите вкладку Свойства
  • В «Применить на» изменить тип на Пользователь
  • Установите флажок «Читать MemberOf»:

    чтения LDAP-членов Организации

  • ОК, оттуда

Это должно настроить его так, чтобы указанная учетная запись могла считывать членство в группах всех учетных записей пользователей в домене.

sysadmin1138
источник
2
Спасибо sysadmin - я все еще не вижу вкладку безопасности при щелчке свойств в моем тестовом домене (это сервер 2003 vm - настроен мной .. разработчик: P, поэтому я могу ошибаться) .. вот изображение экрана свойств, которое я вижу , tinypic.com/r/10p7cdy/4
Адам Дженкин
9
Ах, вот и все. Перейдите в View и выберите Advanced Features. Это появится, как только это будет включено. У меня всегда есть это, поэтому я забываю, что это там:}
sysadmin1138
К сожалению, это не относится к Windows Server 2012, где диалоговое окно «Добавить» совсем другое.
Крис Нельсон
Для всех пользователей на Server 2008R2 эти инструкции в равной степени применимы, но вкладка свойств немного отличается от описанной / изображенной. Параметр помечен как «Применить к:», а правильное значение - «Объекты пользователя потомка». Все остальные инструкции остаются прежними.
jmbpiano
Много, много разрешений ... sysadmin1138.net/images/ldap-read-member-of.png
Kiquenet