เพิ่มรายการโฆษณาโดยใช้ ldapadd ล้มเหลวด้วย“ ไม่เต็มใจที่จะดำเนินการ”

1

ฉันพยายามเพิ่มรายการใน Active Directory โดยใช้ ldapadd นี่คือไฟล์ ldif ของฉัน:

DN: CN=John_Smith,CN=Users,DC=ad,DC=example,DC=net
objectClass: user 
CN: John_Smith
sn: John 
givenName: Smith 
displayName: John_Smith 
sAMAccountName: jsmith 
userPrincipalName: jsmith@example.net

ฉันทราบว่าถ้าคุณพยายามแก้ไข / ปรับปรุงหรือเพิ่มรหัสผ่านผู้ใช้ Active Directory จะกำหนดให้คุณต้องเชื่อมต่อ SSL กับเซิร์ฟเวอร์ อย่างไรก็ตามสิ่งนี้ล้มเหลวโดยที่ฉันไม่พยายามอัปเดตรหัสผ่านผู้ใช้ นี่คือคำตอบ:

adding new entry "CN=John_Smith,CN=Users,DC=example,DC=net"
ldap_add: Server is unwilling to perform (53)
        additional info: 00002035: LdapErr: DSID-0C090D64, comment: Operation not allowed through GC port, data 0, v2580

ไดเรกทอรีที่ใช้งานอยู่นี้ถูกปรับใช้โดยใช้ตัวช่วยสร้างบริการไดเรกทอรี AWS

active-directory  ldap 
Flo
แหล่งที่มา
2
อย่าใช้พอร์ตแคตตาล็อกทั่วไปเพื่อเพิ่มผู้ใช้
natxo asenjo
@natxoasenjo ขอบคุณ! ฉันลองใช้พอร์ต 389 และผ่านปัญหานี้แล้ว อย่างไรก็ตามตอนนี้ฉันได้รับINSUFF_ACCESS_RIGHTSข้อผิดพลาดแม้ว่าฉันจะใช้ผู้ดูแลระบบอยู่ก็ตาม ความคิดใด ๆ ว่าทำไมถึงเป็นเช่นนั้น?
Flo
นอกจากนี้รายการผู้ดูแลระบบของฉันมี:memberOf: CN=Admins,OU=Users,OU=example,DC=example,DC=net
Flo
1
ในโฆษณานอกกรอบมีกลุ่ม 'Domain Admins' ต่อโดเมนไม่ใช่ 'ผู้ดูแลระบบ' คุณสามารถสร้างกลุ่ม 'ผู้ดูแลระบบ' ซึ่งไม่ใช่ปัญหา แต่คุณต้องกำหนดสิทธิ์ที่จำเป็นให้กับกลุ่มนั้น ปรึกษาผู้ดูแลระบบโฆษณาของคุณเพื่อตรวจสอบว่ากลุ่มผู้ดูแลระบบมีสิทธิ์ที่จำเป็นในการเพิ่มผู้ใช้ในคอนเทนเนอร์ผู้ใช้ที่คุณพยายามใช้
natxo asenjo

คำตอบ:

2

อย่าใช้พอร์ตแค็ตตาล็อกส่วนกลางสำหรับการสร้างผู้ใช้ หากเซิร์ฟเวอร์ของคุณต้องมีการเชื่อมต่อ SSL ใช้พอร์ต LDAPS 636ที่เริ่มต้นที่จะ

นอกจากนี้โปรดตรวจสอบให้แน่ใจว่ารหัสผ่านใหม่เป็นไปตามนโยบายความซับซ้อนของรหัสผ่านและนโยบายประวัติรหัสผ่านของคุณ unwilling to performข้อผิดพลาดเป็นผลร่วมกันของความขัดแย้งกับนโยบายรหัสผ่าน

M. Glatki
แหล่งที่มา
1

@natxoasenjo ชี้ให้เห็นคุณไม่ควรใช้พอร์ตแค็ตตาล็อกส่วนกลางเพื่อเพิ่มผู้ใช้ ฉันใช้พอร์ต 389 และผ่านปัญหานี้ไปแล้ว

Flo
แหล่งที่มา
0

ต่อไปนี้ทำงานให้ฉันเพื่อเพิ่มกลุ่มด้วยไดเรกทอรีตาม win2012 ในพื้นที่ของเรา เส้นทาง OU ถูกบดบังแน่นอน 

DN: CN=testunixgrp,OU=Unix Groups,OU=Groups,blah,blah,blah
cn: testunixgrp
name: testunixgrp
distinguishedName: CN=testgrp,OU=Unix Groups,OU=Groups,blah,blah,blah
sAMAccountName: testunixgrp
gidNumber: 123456
instanceType: 4
objectClass: top
objectClass: group
แดนพริตต์
แหล่งที่มา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.