我正在尝试获取 Active Directory 中某个组的成员列表。我正在使用 LDAP 查询,但我认为这不相关。我发现 Active Directory 的组成员身份信息存在不一致之处:
G
已创建具有全局范围的安全组。G
使用 AD 用户和计算机 MMC 管理单元查看 的属性显示三用户,A
B
C
在“成员”选项卡上。
A
B
但是,在查看和的用户属性时C
,只有A
和在“成员”选项卡上列出B
-是G
G
不是出现在用户的‘成员’选项卡上C
。
为什么用户在某个组的成员列表中,但该组却不是在该用户的‘成员’列表中?
(请注意,该组G
是不是任何用户的主要组)
(我最初以为这是一个 LDAP 查询问题,但事实并非如此:查询准确地报告了 Active Directory 中的信息,而事实并非如此)
答案1
如果您查询包含来自多个 AD 域(全局组与通用组)的条目的组,则获取完整结果可能会出现问题。有关此主题的更多信息这里
(注:在链接页面上,我看到 Che 的帖子中间有 wingding 字体。这里它们被转换成了真正的字体:
- 在包含该用户的域的 DC 上,该用户的 memberOf 就该域中的组成员身份而言是完整的;但是,memberOf 不包含用户在其他域中的域本地组和全局组的成员身份。
- 在 GC 服务器上,用户的 memberOf 针对所有通用组成员身份都是完整的。
)