สิทธิ์ใดที่จำเป็นสำหรับการแจกแจงกลุ่มผู้ใช้ใน Active Directory

ฉันมีเว็บแอปพลิเคชั่น. net ซึ่งต้องได้รับกลุ่มที่ผู้ใช้เป็นสมาชิกใน Active Directory

สิ่งนี้ฉันกำลังใช้คุณลักษณะ memberOf กับบันทึกผู้ใช้

ฉันจำเป็นต้องรู้สิทธิ์ที่จำเป็นในการอ่านคุณสมบัตินี้ในบันทึกผู้ใช้ทั้งหมด

ขณะนี้ฉันได้รับผลลัพธ์ที่ไม่สอดคล้องกันเมื่อพยายามอ่านแอตทริบิวต์นี้ ตัวอย่างเช่นฉันมีกลุ่มผู้ใช้ 30 ผู้ใช้ในเส้นทาง OU เดียวกัน ใช้ข้อมูลประจำตัวของฉันเองเพื่อสอบถามโฆษณา - ฉันสามารถอ่านแอตทริบิวต์ memberOf สำหรับผู้ใช้บางคน แต่ไม่ใช่ผู้อื่น ฉันรู้ว่าผู้ใช้ทุกคนมีการตั้งค่าคุณลักษณะ memberOf ตามที่ฉันได้ตรวจสอบเมื่อเข้าสู่ระบบด้วยบัญชีผู้ดูแลโดเมน

active-directory ldap

— อดัมเจนกิน
แหล่งที่มา

บนวัตถุโดเมนของคุณคุณต้องกำหนดผู้ใช้แบบสอบถาม "อ่าน MemberOf" ไปยังวัตถุผู้ใช้

เปิด AD U&C เพื่อเรียกดูวัตถุโดเมนของคุณ
คลิกขวาและไปที่คุณสมบัติ:
แท็บความปลอดภัยคลิกขั้นสูง
คลิกเพิ่ม
ป้อนชื่อผู้ใช้ที่จะเพิ่ม
คลิกที่แท็บ Properties
ใน 'Apply Onto' ให้เปลี่ยนประเภทเป็น User
คลิกช่องทำเครื่องหมาย "อ่าน MemberOf":
ตกลงจากที่นั่น

ควรตั้งค่าเพื่อให้บัญชีที่ระบุสามารถอ่านการเป็นสมาชิกกลุ่มของบัญชีผู้ใช้ทั้งหมดในโดเมน

— sysadmin1138
แหล่งที่มา

ขอบคุณดูแลระบบ - ฉันยังไม่เห็นแท็บความปลอดภัยเมื่อคลิกคุณสมบัติในโดเมนทดสอบของฉัน (เป็นเซิร์ฟเวอร์ 2003 vm - ตั้งค่าโดยฉัน .. ผู้พัฒนา: P ดังนั้นอาจผิด) .. ภาพของหน้าจอคุณสมบัติที่ฉันเห็น . tinypic.com/r/10p7cdy/4

— Adam Jenkin

อ่านั่นแหละ ไปที่ดูและเลือกคุณสมบัติขั้นสูง มันจะปรากฏขึ้นเมื่อเปิด ฉันมักจะทำอย่างนั้นดังนั้นฉันจึงลืมไปว่ามันอยู่ที่นั่น:}

— sysadmin1138

FWIW ดูเหมือนว่าจะไม่ใช้กับ Windows Server 2012 ที่กล่องโต้ตอบเพิ่มแตกต่างกันมาก

— Chris Nelson

เพื่อประโยชน์ของผู้ใช้บน Server 2008R2 คำแนะนำเหล่านี้มีผลบังคับใช้อย่างเท่าเทียมกัน แต่แท็บคุณสมบัตินั้นแตกต่างจากที่อธิบายไว้ / ภาพเล็กน้อย การตั้งค่านี้มีชื่อว่า "Apply to:" และค่าที่ถูกต้องคือ "Descendant User Objects" คำแนะนำอื่น ๆ ทั้งหมดยังคงเหมือนเดิม

— jmbpiano

สิทธิ์จำนวนมาก ... sysadmin1138.net/images/ldap-read-member-of.png

— Kiquenet