【发布时间】:2015-04-02 18:19:33
【问题描述】:
让我从我们的 Active Directory 的基本布局开始:
DC=com
DC=example
OU=Groups
CN=MaxGroups
CN=MaxAdmins
CN=MaxSupers
CN=MaxTechs
...
OU=ServiceAccounts
CN=maxadmin
CN=maxreg
CN=mxintadm
...
OU=Users
CN=userA
CN=userB
...
我们对其进行配置的方式是 MaxAdmins 组、MaxSupers 组和 MaxTechs 组都是 MaxGroups 组的成员(我们必须这样做以符合某些公司准则)。我们有 3 个服务帐户(maxadmin、maxreg 和 mxintadm)以及一组属于这三个组(MaxAdmins、MaxSupers 和 MaxTechs)之一的用户。我需要开发的是两个查询。一种是获取组(这很容易),另一种是获取属于其中一个组的所有用户。
现在我知道我可以执行如下用户查询:
(&
(objectcategory=user)
(|
(memberOf=CN=MaxAdmins,...)
(memberOf=CN=MaxSuper,...)
(memberOf=CN=MaxTech,...)
)
)
但是,在未来,我们可能会添加更多组,我不希望继续使用更多“OR”组更新用户查询。我想像下面这样的“伪代码”:
Users that are members of a group that is a member of MaxGroups.
基本上,我想要一个查询来查找属于 MaxGroups 的所有组,然后查找属于这些组中的任何一个成员的任何用户的列表。这可能吗?我在大量谷歌搜索“nested memberOf”中遇到的所有内容都是关于尝试生成用户所属的所有组的列表,而不是作为组成员成员的用户列表!
我们将不胜感激任何和所有的帮助!
谢谢!
【问题讨论】:
-
你能解决这个问题吗?我面临着类似的问题。 (张贴在这里stackoverflow.com/questions/51879457/…)
-
下面选择的答案在技术上确实回答了我的问题,但是在我的特定情况下,由于我查询的系统的限制,我无法使用它。我们最终简化为 1 个组。
标签: active-directory