我尝试让所有用户“memberOf”所有以“JE_”开头的组
我知道我不能执行以下操作:
memberOf=CN=JE*,OU=JE,OU=Gruppen,DC=subd,DC=dom,DC=net
但是所有的 JE_* 都位于一个名为“JE”的结下。是否可以让所有用户 memberOf 位于结“JE”下的组?
【问题讨论】:
标签: active-directory ldap activedirectorymembership
是的,但您需要以不同的方式解决问题。与其搜索用户对象,不如搜索具有用户 DN 的组对象。
例如,考虑用户
cn=dave,OU=user,DC=subd,DC=dom,DC=net
用户是多个JE* 组的成员。
CN=JE_1,OU=JE,OU=Gruppen,DC=subd,DC=dom,DC=net
CN=JE_2,OU=JE,OU=Gruppen,DC=subd,DC=dom,DC=net
CN=JE_3,OU=JE,OU=Gruppen,DC=subd,DC=dom,DC=net
为了找到用户所属的JE* 组,搜索具有OU=JE,OU=Gruppen,DC=subd,DC=dom,DC=net 基数和搜索过滤器的组
(&(objectclass=group)(member=cn=dave,OU=user,DC=subd,DC=dom,DC=net))
这将返回包含相关用户的所有JE* 组对象。确保指定您只希望将组名作为属性返回,否则所有成员也将返回。如果只有少数,这不是问题,但如果有数千则可能会很麻烦。
【讨论】: