我需要使用 AD 授权一些在线工具,以方便一家大型跨国公司跨三个国家的软件开发。
工具 AD/LDAP 部分有一行用于指定 BASE DN,另一行用于应用用户过滤器。
默认用户过滤器是:(&(objectCategory=Person)(sAMAccountName=*))
我需要联系的人位于以下 AD 位置:
- MyCompany.com/AAA/EMA/RS/Aarhus/Accounts
- MyCompany.com/BBB/AMR/RS/亚特兰大/账户
- MyCompany.com/CCC/AP/COR/Xian/Accounts
每个帐户条目包含 4-5 个更深的层,我需要所有这些人。
如果我只是将 BASE DN 设置为DC=我的公司,DC=com(我相信应该是这样的)我返回了超过 250,000 名用户,其中只有大约 2,000 名应该有访问权限。:-( 我的工具缓存了条目,并且同步需要很长时间。:-(
我想使用更具体的过滤器来更具体地定位位置。
我尝试了各种各样的方法,到处寻找,还向工具开发人员和我们的 IT 部门询问如何做到这一点,但没有找到任何可用的东西。
我认为过滤器应该类似于以下内容 - 除了我现在知道 memberOf 检查的是组的成员身份,而不是 AD 中的层次结构位置
(&(objectCategory=Person)(sAMAccountName=*)
(|
(memberOf:=OU=Accounts,OU=Aarhus,OU=RS,OU=EMA,OU=AAA,DC=MyCompany,DC=com)
(memberOf:=OU=Accounts,OU=Atlanta,OU=RS,OU=AMR,OU=BBB,DC=MyCompany,DC=com)
(memberOf:=OU=Accounts,OU=Xian,OU=COR,OU=AP,OU=CCC,DC=MyCompany,DC=com)
)
)
需要澄清的是,我无法创建(并保持更新)一个包含所有应该有访问权限的人员和子位置的群组。
我热切地等待您的建议...
注意:这是我第一次接触 AD/LDAP,所以我可能忽略了这个解释中的一些内容 - 请尝试填补空白。谢谢。