LDAP-запрос для получения имени учетной записи из SID

Question

Итак, у меня есть SID из FSP: S-1-5-21-2127521184-1604012920-1887927527-72713.

Перевод сработал в powershell , но я хотел бы выполнить запрос ldap самостоятельно, например здесь , но у меня возникли небольшие проблемы с правильным преобразованием SID.

Не могли бы вы помочь мне с запросом, который дает мне соответствующее имя учетной записи на основе SID?

Answer 1

Если у вас есть Java, вы можете напрямую запросить ObjectSID.

Мы показываем Пример с кодом

Я могу использовать ldapsearch вроде:

ldapsearch -h example.net -D "EXAMPLE\myID" -b "OU=Accounts,DC=EXAMPLE,DC=NET" -s sub -a search -z 1000 "(ObjectSID=S-1-5-21-333675845-1535931152-1111140340-22234762)" "objectClass"

И получите результаты.

# extended LDIF
# LDAPv3
# base <OU=Accounts,DC=EXAMPLE,DC=NET> with scope subtree
# filter: (ObjectSID=S-1-5-21-333675845-1535931152-1111140340-22234762)
# requesting: objectClass samAccountName
#
# userid, sales, Accounts, EXAMPLE.NET
dn: CN=userid,OU=sales,OU=Accounts,DC=EXAMPLE,DC=NET
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: user
sAMAccountName: userid
# search result
search: 2
result: 0 Success
# numResponses: 2
# numEntries: 1

Этот поиск выполняется с компьютера Linux и выполняется пользователем, который не представлен ObjectSID.

Answer 2

Вы можете привязать напрямую к объекту, используя SID, используя LDAP://<SID=S-1-5-21-2127521184-1604012920-1887927527-72713>. После этого получите имя пользователя.

В PowerShell это будет выглядеть примерно так:

$account = [adsi]"LDAP://<SID=S-1-5-21-2127521184-1604012920-1887927527-72713>"
$username = $account.Properties["sAMAccountName"]

Если компьютер, на котором вы его запускаете, находится в другом домене, чем учетная запись, возможно, вам придется указать домен:

$account = [adsi]"LDAP://domain.com/<SID=S-1-5-21-2127521184-1604012920-1887927527-72713>"