Jakie uprawnienia są wymagane do wyliczania grup użytkowników w usłudze Active Directory

19

Mam aplikację sieci web .net, która musi uzyskać grupy, do których użytkownik należy w usłudze Active Directory.

Aby to zrobić, używam atrybutu memberOf w rekordach użytkowników.

Muszę znać uprawnienia wymagane do odczytania tego atrybutu we wszystkich rekordach użytkowników.

Obecnie otrzymuję niespójne wyniki, gdy próbuję odczytać ten atrybut. Na przykład mam grupę użytkowników 30 użytkowników w tej samej ścieżce OU. Używając własnych poświadczeń do zapytania AD - Mogę odczytać atrybut memberOf dla niektórych użytkowników, ale nie dla innych. Wiem, że wszyscy użytkownicy mają ustawiony atrybut memberOf, co sprawdziłem po zalogowaniu przy użyciu konta administratora domeny.

active-directory ldap Adam Jenkin
źródło

Odpowiedzi:

26

W obiekcie domeny musisz przypisać kwerendującemu użytkownikowi prawo „Read MemberOf” do obiektów użytkownika.

  • Otwórz AD U&C przejdź do swojego obiektu domeny
  • Kliknij prawym przyciskiem myszy i przejdź do właściwości:

    domena adu-nc

  • Karta Zabezpieczenia, kliknij Zaawansowane
  • Kliknij Dodaj
  • Wprowadź nazwę użytkownika, aby dodać
  • Kliknij kartę Właściwości
  • W polu „Zastosuj na” zmień typ na Użytkownik
  • Kliknij pole wyboru „Read MemberOf”:

    ldap-read-member-of

  • OK, stamtąd

To powinno to skonfigurować, aby określone konto mogło odczytać członkostwo grupy wszystkich kont użytkowników w domenie.

sysadmin1138
źródło
2
Dzięki sysadmin - nadal nie widzę zakładki bezpieczeństwa po kliknięciu właściwości w mojej domenie testowej (jest to serwer vm serwera 2003 - skonfigurowany przeze mnie .. programista: P może być źle) .. oto obraz ekranu właściwości, który widzę . tinypic.com/r/10p7cdy/4
Adam Jenkin
9
Ach, to wszystko. Przejdź do Wyświetl i wybierz Funkcje zaawansowane. Pojawi się, gdy zostanie włączony. Zawsze mam to włączone, więc zapominam, że tam jest:}
sysadmin1138
FWIW, wydaje się, że nie dotyczy to systemu Windows Server 2012, w którym okno dialogowe Dodaj jest zupełnie inne.
Chris Nelson
Z korzyścią dla wszystkich użytkowników na serwerze 2008R2 instrukcje te są w równym stopniu obowiązujące, ale karta właściwości nieco różni się od opisanej / przedstawionej. Ustawienie jest oznaczone jako „Zastosuj do:”, a poprawna wartość to „Obiekty użytkownika potomnego”. Wszystkie pozostałe instrukcje pozostają takie same.
jmbpiano
Wiele, wiele uprawnień ... sysadmin1138.net/images/ldap-read-member-of.png
Kiquenet