我为 Active Directory 中的搜索用户创建了以下过滤器:
(&(objectClass=*)(|(sAMAccountName=u)(userPrincipalName=u))
可以创建更多合格的过滤器:
(&(objectClass=person)(|(sAMAccountName=u)(userPrincipalName=u))
问题是为什么?
使用指定类person有什么好处?
同一目录是否可能包含objectClass 不是person 但以下为真(|(sAMAccountName=u)(userPrincipalName=u)) 的对象?
为什么不在 LDAP 搜索过滤器中始终使用 (objectClass=*)?
【问题讨论】:
标签: active-directory ldap ldap-query
(objectClass=*) 是一个现有的过滤器,用于过滤掉没有填充objectClass 的对象...没有,因为所有 LDAP 对象都至少有一个结构对象类,因此第一个过滤器中的过滤器组件是不必要的甚至可能会减慢搜索速度,具体取决于服务器配置。
您问题中的第一个过滤器可能会导致服务器使用不必要的匹配规则进行比较。从性能的角度来看,第二个过滤器是一个更好的过滤器,假设已经在服务器上创建了 objectClass 相等的索引。
【讨论】:
(objectClass=*) 现有过滤器才能与所有 LDAP(例如 SUN LDAP)一起使用。 2) 带有(objectClass=*) present 过滤器的过滤器会为任何 LDAP(不仅是 Active Directory)返回正确的结果。 3) 使用(objectClass=person) 相等过滤器可以提高性能。
这可能是通用 LDAP 服务的保留,原则上任何对象都可以共享具有相同值的相同属性,但属于不同的对象类。
但是,Active Directory 有一个限制,即 sAMAccountName 在域内,在所有对象类中必须是唯一的。并且只有 4 个对象类应该具有该属性? (我认为是用户、组、打印机和工作站)。
所以你很可能只是查询
(|(sAMAccountName=u)(userPrincipalName=u))
完全没有对象类过滤器。
【讨论】: