我们使用 Microsoft Windows 2008 Server 作为我们的 DC,并使用组策略来分配对网络共享、软件包等的访问权限。软件包的分发是通过 LANDesk Desktop Manager 完成的。
挑战如下:我们有一个名为“Windows 7 免费软件”的策略,所有用户都应该有权访问该策略。为了实现这一点,所有用户(自然)所属的域用户都被授予了访问“Windows 7 免费软件”策略的权限。但这行不通。
我似乎记得 Microsoft 的 LDAP 实施中存在一个已知问题,这导致授予域用户的权限无法正确传播,并且想知道在我记录变更请求之前是否有人对此有进一步的详细信息?
答案1
除了亲自观察之外,我还没有找到确凿的证据来证实这一点。
解决方案是避免使用域用户来分配权限,而是使用不同的容器 OU。
2017年8月22日更新:
我找到了对该行为的独立确认,指出:
大多数方法不会显示“主要”组的成员身份。对于大多数用户而言,“主要”组应为“域用户”。具体而言,用户对象的 memberOf 属性和组对象的 member 属性永远不会显示“主要”组成员身份。在大多数域中,“域用户”组的成员属性为空,因此可以安全地假设所有用户都属于此组。如果您需要查询所有将“域用户”指定为其“主要”的用户,请搜索其 primaryGroupID 属性为 513 的所有用户。组“域用户”的 primaryGroupToken 属性是相同的整数 513。LDAP 语法过滤器可以是:(primaryGroupID=513) 或者,若要查找“域用户”的所有直接成员,以及将此组指定为其“主要”的所有用户:(|(memberOf=cn=Domain Users,cn=Users,dc=MyDomain,dc=com)(primaryGroupID=513)) 要查找所有将其他组指定为其“主要”的用户,过滤器可以是:(&(objectCategory=person)(objectClass=user)(!primaryGroupID=513))