我正在尝试使用 ldapadd 向 Active Directory 添加条目。这是我的 ldif 文件:
DN: CN=John_Smith,CN=Users,DC=ad,DC=example,DC=net
objectClass: user
CN: John_Smith
sn: John
givenName: Smith
displayName: John_Smith
sAMAccountName: jsmith
userPrincipalName: [email protected]
我知道,如果您尝试修改/更新或添加用户密码,Active Directory 将要求您与服务器建立 SSL 连接。但是,如果我不尝试更新用户密码,此操作就会失败。以下是响应:
adding new entry "CN=John_Smith,CN=Users,DC=example,DC=net"
ldap_add: Server is unwilling to perform (53)
additional info: 00002035: LdapErr: DSID-0C090D64, comment: Operation not allowed through GC port, data 0, v2580
此活动目录是使用 AWS Directory Service 向导部署的。
答案1
不要使用全局目录端口来创建用户。如果您的服务器需要 SSL 连接,请使用默认为 的 ldaps 端口636
。
另外,请确保新密码符合您的密码复杂性策略和密码历史策略。unwilling to perform
错误消息是与密码策略冲突的常见结果。
答案2
正如@natxoasenjo 指出的那样,您不应该使用全局目录端口来添加用户。我使用了端口 389 并解决了这个问题。
答案3
以下步骤对我有用,可以添加一个包含我们本地 win2012 目录的组。当然,OU 路径被遮挡了。
DN: CN=testunixgrp,OU=Unix Groups,OU=Groups,blah,blah,blah
cn: testunixgrp
name: testunixgrp
distinguishedName: CN=testgrp,OU=Unix Groups,OU=Groups,blah,blah,blah
sAMAccountName: testunixgrp
gidNumber: 123456
instanceType: 4
objectClass: top
objectClass: group