it-swarm.com.de

Welche Berechtigungen sind zum Auflisten von Benutzergruppen in Active Directory erforderlich?

Ich habe eine .net-Webanwendung, die die Gruppen abrufen muss, zu denen ein Benutzer in Active Directory gehört.

Dazu verwende ich das Attribut memberOf in den Benutzerdatensätzen.

Ich muss die Berechtigungen kennen, die zum Lesen dieses Attributs in allen Benutzerdatensätzen erforderlich sind.

Derzeit erhalte ich inkonsistente Ergebnisse, wenn ich versuche, dieses Attribut zu lesen. Zum Beispiel habe ich eine Benutzergruppe von 30 Benutzern im selben OU-Pfad. Verwenden meiner eigenen Anmeldeinformationen zum Abfragen von AD - Ich kann das memberOf-Attribut für einige Benutzer lesen, für andere jedoch nicht. Ich weiß, dass für alle Benutzer ein memberOf-Attribut festgelegt ist, das ich bei der Anmeldung mit einem Domänenadministratorkonto überprüft habe.

19
Adam Jenkin

Auf Ihrem Domänenobjekt müssen Sie dem abfragenden Benutzer das Recht "Read MemberOf" für Benutzerobjekte zuweisen.

  • Öffnen Sie AD U & C und navigieren Sie zu Ihrem Domain-Objekt
  • Klicken Sie mit der rechten Maustaste und gehen Sie zu Eigenschaften:

    adu-n-c-domain

  • Klicken Sie auf der Registerkarte Sicherheit auf Erweitert
  • Klicken Sie auf Hinzufügen
  • Geben Sie den hinzuzufügenden Benutzernamen ein
  • Klicken Sie auf die Registerkarte Eigenschaften
  • Ändern Sie unter "Anwenden auf" den Typ in "Benutzer"
  • Aktivieren Sie das Kontrollkästchen "MemberOf lesen":

    ldap-read-member-of

  • OK da raus

Das sollte so eingerichtet sein, dass das angegebene Konto die Gruppenmitgliedschaften aller Benutzerkonten in der Domäne lesen kann.

26
sysadmin1138