使用 ldapadd 添加 AD 条目失败,并显示“不愿意执行”

tag-icon tag-icon active-directory ldap
使用 ldapadd 添加 AD 条目失败,并显示“不愿意执行”

我正在尝试使用 ldapadd 向 Active Directory 添加条目。这是我的 ldif 文件:

DN: CN=John_Smith,CN=Users,DC=ad,DC=example,DC=net
objectClass: user 
CN: John_Smith
sn: John 
givenName: Smith 
displayName: John_Smith 
sAMAccountName: jsmith 
userPrincipalName: [email protected]

我知道,如果您尝试修改/更新或添加用户密码,Active Directory 将要求您与服务器建立 SSL 连接。但是,如果我不尝试更新用户密码,此操作就会失败。以下是响应:

adding new entry "CN=John_Smith,CN=Users,DC=example,DC=net"
ldap_add: Server is unwilling to perform (53)
        additional info: 00002035: LdapErr: DSID-0C090D64, comment: Operation not allowed through GC port, data 0, v2580

此活动目录是使用 AWS Directory Service 向导部署的。

答案1

不要使用全局目录端口来创建用户。如果您的服务器需要 SSL 连接,请使用默认为 的 ldaps 端口636

另外,请确保新密码符合您的密码复杂性策略和密码历史策略。unwilling to perform错误消息是与密码策略冲突的常见结果。

答案2

正如@natxoasenjo 指出的那样,您不应该使用全局目录端口来添加用户。我使用了端口 389 并解决了这个问题。

答案3

以下步骤对我有用,可以添加一个包含我们本地 win2012 目录的组。当然,OU 路径被遮挡了。

DN: CN=testunixgrp,OU=Unix Groups,OU=Groups,blah,blah,blah
cn: testunixgrp
name: testunixgrp
distinguishedName: CN=testgrp,OU=Unix Groups,OU=Groups,blah,blah,blah
sAMAccountName: testunixgrp
gidNumber: 123456
instanceType: 4
objectClass: top
objectClass: group

相关内容