Quali autorizzazioni sono necessarie per enumerare i gruppi di utenti in Active Directory

19

Ho un'applicazione web .net che deve ottenere i gruppi di cui un utente è membro in Active Directory.

Inoltre, sto usando l'attributo memberOf nei record degli utenti.

Devo conoscere le autorizzazioni necessarie per leggere questo attributo su tutti i record degli utenti.

Attualmente sto ottenendo risultati incoerenti quando provo a leggere questo attributo. Ad esempio, ho un gruppo di utenti di 30 utenti nello stesso percorso OU. Usando le mie credenziali per interrogare AD - Posso leggere l'attributo memberOf per alcuni utenti ma non altri. So che tutti gli utenti hanno un attributo memberOf impostato come ho verificato quando ho effettuato l'accesso con un account amministratore di dominio.

active-directory  ldap 
Adam Jenkin
fonte

Risposte:

26

Sull'oggetto dominio, è necessario assegnare all'utente di query il diritto "Leggi MemberOf" agli oggetti Utente.

  • Apri U&C AD e cerca l'oggetto del tuo dominio
  • Fare clic con il tasto destro e selezionare Proprietà:

    adu-nc-dominio

  • Scheda Sicurezza, fai clic su Avanzate
  • Clicca Aggiungi
  • Inserisci il nome utente da aggiungere
  • Fai clic sulla scheda Proprietà
  • In "Applica a" modifica il tipo in Utente
  • Fai clic sulla casella di controllo "Leggi MemberOf":

    ldap-read-membro-di

  • OK fuori di lì

Ciò dovrebbe configurarlo in modo che l'account specificato possa leggere le appartenenze ai gruppi di tutti gli account utente nel dominio.

sysadmin1138
fonte
2
Grazie sysadmin - Non riesco ancora a vedere una scheda di sicurezza quando faccio clic sulle proprietà nel mio dominio di prova (è un server 2003 vm - impostato da me .. uno sviluppatore: P, quindi potrebbe essere sbagliato) .. ecco un'immagine della schermata delle proprietà che vedo . tinypic.com/r/10p7cdy/4
Adam Jenkin il
9
Ah, questo è tutto. Vai a Visualizza e seleziona Funzioni avanzate. Apparirà una volta acceso. L'ho sempre acceso, quindi dimentico che è lì:}
sysadmin1138
FWIW, questo non sembra applicarsi a Windows Server 2012 in cui la finestra di dialogo Aggiungi è piuttosto diversa.
Chris Nelson,
A beneficio di tutti gli utenti su Server 2008R2, queste istruzioni sono ugualmente applicabili, ma la scheda delle proprietà è leggermente diversa da quella descritta / illustrata. L'impostazione è etichettata "Applica a:" e il valore corretto è "Oggetti utente discendente". Tutte le altre istruzioni rimangono le stesse.
jmbpiano,
Molte, molte autorizzazioni ... sysadmin1138.net/images/ldap-read-member-of.png
Kiquenet
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.