Я пытаюсь помочь кому-то решить очень странную проблему AD \ ADFS, и у меня почти нет идей.
Мы используем ADFS для возврата групп безопасности (среди прочего), к которым принадлежит пользователь.Если у этого пользователя есть определенная группа, мы предоставляем ему доступ.Это то, что работает на нескольких других системах \ средах.В этом случае ADFS не возвращает какие-либо доменные группы для пользователя (и я проверил несколько пользователей).
Если я использую
Get-aduser username -properties memberof | select -expandproperty memberof
, ничего не отображается.Если я сделаю
get-aduser username -properties memberof | measureobject
, это даст мне счет 1.
Здесь все становится действительно интересным.
Если я проверю пользователя в ADUC, я увижучто он является членом доменных пользователей, но это все.Если я перейду к рассматриваемой группе в ADUC, она покажет, что этот пользователь также является членом этой группы (но НЕ показывает эту группу под этим элементом для данного пользователя.)
Если я проверяю get-adgroup, помните еепоказывает, что этот пользователь является членом группы, которую мне действительно нужно вернуть.Идентификатор безопасности для пользователя тот же, что и для принадлежности к группе, и для того, когда я использую get-aduser для проверки соответствующего пользователя (где эта группа не отображается).
Теперьвсе это в стороне - если я пойду и сделаю запрос в ADFS - я не получу никаких групп доменов, возвращаемых для рассматриваемого пользователя (ни пользователей домена, ни других, в которых он ДОЛЖЕН быть)
Я предполагаю, что этоЭто, как правило, связано с безопасностью, но я в растерянности.
Такая же точная конфигурация для ADFS идеально работает в нескольких моих тестовых средах.
Любые советы \ предложения?