Frage Welche Berechtigungen sind zum Auflisten von Benutzergruppen in Active Directory erforderlich?


Ich habe eine .net-Webanwendung, die die Gruppen abrufen muss, in denen ein Benutzer Mitglied in Active Directory ist.

Dazu verwende ich das Attribut memberOf für die Benutzerdatensätze.

Ich muss die Berechtigungen kennen, die erforderlich sind, um dieses Attribut in allen Benutzerdatensätzen zu lesen.

Zur Zeit bekomme ich inkonsistente Ergebnisse, wenn ich versuche, dieses Attribut zu lesen. Zum Beispiel habe ich eine Benutzergruppe von 30 Benutzern im selben OU-Pfad. Verwenden meiner eigenen Anmeldeinformationen zum Abfragen von AD - Ich kann das Attribut memberOf für einige Benutzer lesen, aber nicht für andere Benutzer. Ich weiß, dass alle Benutzer ein MemberOf-Attribut festgelegt haben, wie ich es überprüft habe, wenn ich mit einem Domänenadministratorkonto angemeldet bin.


19
2017-08-05 13:33


Ursprung




Antworten:


Auf Ihrem Domänenobjekt müssen Sie dem abfragenden Benutzer das Recht "Read MemberOf" für Benutzerobjekte zuweisen.

  • Öffnen Sie AD U & C, navigieren Sie zu Ihrem Domänenobjekt
  • Rechtsklicken und zu den Eigenschaften gehen:

    adu-n-c-domain

  • Klicken Sie auf der Registerkarte Sicherheit auf Erweitert
  • Klicken Sie auf Hinzufügen
  • Geben Sie den hinzuzufügenden Benutzernamen ein
  • Klicken Sie auf die Registerkarte Eigenschaften
  • In 'Anwenden auf' ändern Sie den Typ auf Benutzer
  • Klicken Sie auf das Kästchen "Read MemberOf":

    ldap-read-member-of

  • OK da raus

Das sollte es einrichten, damit das angegebene Konto die Gruppenmitgliedschaften aller Benutzerkonten in der Domäne lesen kann.


26
2017-08-05 14:18



Danke sysadmin - Ich sehe immer noch keine Sicherheits-Registerkarte, wenn ich auf Eigenschaften auf meiner Test-Domain klicke (es ist ein Server 2003 vm - von mir eingerichtet .. ein Entwickler: P könnte also falsch sein) ..heres ein Bild des Eigenschaften-Bildschirms sehe ich . tinypic.com/r/10p7cdy/4 - Adam Jenkin
Ah, das ist es. Gehe zu Ansicht und wähle Erweiterte Funktionen. Es wird angezeigt, sobald das eingeschaltet ist. Ich habe das immer dabei, also vergesse ich, dass es da ist:} - sysadmin1138♦
FWIW, scheint dies nicht für Windows Server 2012 zu gelten, wo der Dialog "Hinzufügen" ziemlich anders ist. - Chris Nelson
Für alle Benutzer auf Server 2008R2 gelten diese Anweisungen gleichermaßen, aber die Registerkarte "Eigenschaften" unterscheidet sich geringfügig von den Beschreibungen / Abbildungen. Die Einstellung lautet "Apply to:" und der korrekte Wert ist "Descendant User Objects". Alle anderen Anweisungen bleiben gleich. - jmbpiano
Viele, viele Berechtigungen ... sysadmin1138.net/images/ldap-read-member-of.png - Kiquenet