Как исключить AD OU из групп импорта

Question

У меня есть часть программного обеспечения, которая импортирует группы из определенных подразделений в AD. У меня есть подразделение, в котором есть четыре вложенных подразделения, и я хочу импортировать только из трех из них. Как исключить одно подразделение из импорта?

В программном обеспечении есть возможность использовать так называемую строку фильтра, которую я использовал, чтобы вручную ввести фильтр, чтобы исключить эту OU из импорта. Фильтр явно не корректен, так как задания импортируются из всех подразделений.

Я хочу исключить подразделение UAT из импорта, поэтому я попробовал следующий фильтр:

(&(objectClass=Group)(!(ou:cn:=*_UAT)))

Все группы в UAT OU заканчиваются на _UAT, поэтому я попробовал вышеупомянутый фильтр. Задание успешно выполнено, но импортировано из всех четырех подразделений.

Я хочу, чтобы импорт импортировал только группы AD из трех из четырех подразделений, которые я вложил в подразделение приложения.

Answer 1

Нет способа сделать это только в запросе. Нет атрибута с именем ou, поэтому фильтр, который вы пробовали, не работал.

Начиная с Windows Server 2012, есть атрибут с именем msDS-parentdistname, который имеет distinguishedName OU, но это составной атрибут, то есть он фактически не сохраняется; это построено в то время, когда это требуется. Это означает, что вы не можете использовать его в запросе.

Есть два способа сделать это:

1. Измените область поиска на «одноуровневый», чтобы она не искала вложенные подразделения. Таким образом, вам придется искать каждое из трех подразделений отдельно.
2. Получите все результаты и удалите нежелательные результаты после поиска. Проверьте, содержит ли distinguishedName название нежелательной OU, и, если это так, отмените его.