Jakie uprawnienia są wymagane do wyliczania grup użytkowników w usłudze Active Directory

19

Mam aplikację sieci web .net, która musi uzyskać grupy, do których użytkownik należy w usłudze Active Directory.

Aby to zrobić, używam atrybutu memberOf w rekordach użytkowników.

Muszę znać uprawnienia wymagane do odczytania tego atrybutu we wszystkich rekordach użytkowników.

Obecnie otrzymuję niespójne wyniki, gdy próbuję odczytać ten atrybut. Na przykład mam grupę użytkowników 30 użytkowników w tej samej ścieżce OU. Używając własnych poświadczeń do zapytania AD - Mogę odczytać atrybut memberOf dla niektórych użytkowników, ale nie dla innych. Wiem, że wszyscy użytkownicy mają ustawiony atrybut memberOf, co sprawdziłem po zalogowaniu przy użyciu konta administratora domeny.

Adam Jenkin
źródło

Odpowiedzi:

26

W obiekcie domeny musisz przypisać kwerendującemu użytkownikowi prawo „Read MemberOf” do obiektów użytkownika.

  • Otwórz AD U&C przejdź do swojego obiektu domeny
  • Kliknij prawym przyciskiem myszy i przejdź do właściwości:

    domena adu-nc

  • Karta Zabezpieczenia, kliknij Zaawansowane
  • Kliknij Dodaj
  • Wprowadź nazwę użytkownika, aby dodać
  • Kliknij kartę Właściwości
  • W polu „Zastosuj na” zmień typ na Użytkownik
  • Kliknij pole wyboru „Read MemberOf”:

    ldap-read-member-of

  • OK, stamtąd

To powinno to skonfigurować, aby określone konto mogło odczytać członkostwo grupy wszystkich kont użytkowników w domenie.

sysadmin1138
źródło
2
Dzięki sysadmin - nadal nie widzę zakładki bezpieczeństwa po kliknięciu właściwości w mojej domenie testowej (jest to serwer vm serwera 2003 - skonfigurowany przeze mnie .. programista: P może być źle) .. oto obraz ekranu właściwości, który widzę . tinypic.com/r/10p7cdy/4
Adam Jenkin
9
Ach, to wszystko. Przejdź do Wyświetl i wybierz Funkcje zaawansowane. Pojawi się, gdy zostanie włączony. Zawsze mam to włączone, więc zapominam, że tam jest:}
sysadmin1138
FWIW, wydaje się, że nie dotyczy to systemu Windows Server 2012, w którym okno dialogowe Dodaj jest zupełnie inne.
Chris Nelson
Z korzyścią dla wszystkich użytkowników na serwerze 2008R2 instrukcje te są w równym stopniu obowiązujące, ale karta właściwości nieco różni się od opisanej / przedstawionej. Ustawienie jest oznaczone jako „Zastosuj do:”, a poprawna wartość to „Obiekty użytkownika potomnego”. Wszystkie pozostałe instrukcje pozostają takie same.
jmbpiano
Wiele, wiele uprawnień ... sysadmin1138.net/images/ldap-read-member-of.png
Kiquenet