活动目录过滤器无需使用组即可获取多个 AD 位置上的所有用户

活动目录过滤器无需使用组即可获取多个 AD 位置上的所有用户

我需要使用 AD 授权一些在线工具,以方便一家大型跨国公司跨三个国家的软件开发。

工具 AD/LDAP 部分有一行用于指定 BASE DN,另一行用于应用用户过滤器。

默认用户过滤器是:(&(objectCategory=Person)(sAMAccountName=*))

我需要联系的人位于以下 AD 位置:

  1. MyCompany.com/AAA/EMA/RS/Aarhus/Accounts
  2. MyCompany.com/BBB/AMR/RS/亚特兰大/账户
  3. MyCompany.com/CCC/AP/COR/Xian/Accounts

每个帐户条目包含 4-5 个更深的层,我需要所有这些人。

如果我只是将 BASE DN 设置为DC=我的公司,DC=com(我相信应该是这样的)我返回了超过 250,000 名用户,其中只有大约 2,000 名应该有访问权限。:-( 我的工具缓存了条目,并且同步需要很长时间。:-(

我想使用更具体的过滤器来更具体地定位位置。

我尝试了各种各样的方法,到处寻找,还向工具开发人员和我们的 IT 部门询问如何做到这一点,但没有找到任何可用的东西。

我认为过滤器应该类似于以下内容 - 除了我现在知道 memberOf 检查的是组的成员身份,而不是 AD 中的层次结构位置

(&(objectCategory=Person)(sAMAccountName=*)
  (|
    (memberOf:=OU=Accounts,OU=Aarhus,OU=RS,OU=EMA,OU=AAA,DC=MyCompany,DC=com)
    (memberOf:=OU=Accounts,OU=Atlanta,OU=RS,OU=AMR,OU=BBB,DC=MyCompany,DC=com)
    (memberOf:=OU=Accounts,OU=Xian,OU=COR,OU=AP,OU=CCC,DC=MyCompany,DC=com)
  )
)

需要澄清的是,我无法创建(并保持更新)一个包含所有应该有访问权限的人员和子位置的群组。

我热切地等待您的建议...

注意:这是我第一次接触 AD/LDAP,所以我可能忽略了这个解释中的一些内容 - 请尝试填补空白。谢谢。

相关内容