Запросить список всех пользователей определенной группы

Question

Как использовать поисковый фильтр для отображения пользователей определенной группы?

Я пробовал следующее:

(&
    (objectCategory=user)
    (memberOf=MyCustomGroup)
)

и это:

(&
    (objectCategory=user)
    (memberOf=cn=SingleSignOn,ou=Groups,dc=tis,dc=eg,dc=ddd,D‌​C=com)
)   

, но ни один из них не отображает пользователей определенной группы.

Answer 1

memberOf (в AD) хранится в виде списка отличительных имен. Ваш фильтр должен выглядеть примерно так:

(&(objectCategory=user)(memberOf=cn=MyCustomGroup,ou=ouOfGroup,dc=subdomain,dc=domain,dc=com))

Если у вас еще нет отличительного имени, вы можете найти его с помощью:

(&(objectCategory=group)(cn=myCustomGroup))

и вернуть атрибут distinguishedName. Дело может иметь значение.

Answer 2

Для пользователей Active Directory альтернативный способ сделать это - при условии, что все ваши группы хранятся в OU=Groups,DC=CorpDir,DC=QA,DC=CorpName - использовать запрос (&(objectCategory=group)(CN=GroupCN)). Это будет хорошо работать для всех групп менее 1500 человек. Если вы хотите отобразить список всех членов большой группы AD, будет работать тот же запрос, но вам придется использовать дальний поиск , чтобы выбрать всех участников, 1500 записей за раз.

Ключом к выполнению поиска в диапазоне является указание диапазона в атрибутах с использованием этого синтаксиса: attribute; range = low-high . Таким образом, чтобы получить все члены группы AD с 3000 участниками, сначала запустите приведенный выше запрос, запрашивая возвращаемый атрибут member;range=0-1499, а затем атрибут member;range=1500-2999.

Answer 3

Если DC - Win2k3 SP2 или выше, вы можете использовать что-то вроде:

(&(objectCategory=user)(memberOf:1.2.840.113556.1.4.1941:=CN=GroupOne,OU=Security Groups,OU=Groups,DC=example,DC=com))

чтобы получить членство во вложенной группе.

Источник: https://ldapwiki.com/wiki/Active%20Directory%20Group%20Related%20Searches