ฉันไม่พบคำยืนยันที่แน่ชัดของเรื่องนี้
การแก้ปัญหาคือการหลีกเลี่ยงการใช้ผู้ใช้โดเมนเพื่อกำหนดสิทธิ์ใช้คอนเทนเนอร์ OU ที่แตกต่างกันแทน
อัปเดต 22/08/17:
ฉันพบการยืนยันพฤติกรรมที่เป็นอิสระโดยระบุว่า:
วิธีการส่วนใหญ่ไม่เปิดเผยการเป็นสมาชิกในกลุ่ม "หลัก" สำหรับผู้ใช้ส่วนใหญ่กลุ่ม "หลัก" ควรเป็น "ผู้ใช้โดเมน" โดยเฉพาะแอตทริบิวต์ memberOf ของวัตถุผู้ใช้และแอตทริบิวต์สมาชิกของวัตถุกลุ่มไม่เคยเปิดเผยความเป็นสมาชิกกลุ่ม "หลัก" ในโดเมนส่วนใหญ่แอตทริบิวต์สมาชิกของกลุ่ม "ผู้ใช้โดเมน" จะว่างเปล่าและมีความปลอดภัยที่จะถือว่าผู้ใช้ทั้งหมดเป็นสมาชิกของกลุ่มนี้
หากคุณต้องการสอบถามผู้ใช้ทั้งหมดที่มีการกำหนด "ผู้ใช้โดเมน" เป็น "ผู้ใช้หลัก" ให้ค้นหาผู้ใช้ทั้งหมดที่มีแอตทริบิวต์ primaryGroupID คือ 513 แอตทริบิวต์ primaryGroupToken ของกลุ่ม "ผู้ใช้โดเมน" เป็นจำนวนเต็มเดียวกัน 513 LDAP ตัวกรองไวยากรณ์อาจเป็น:
(primarygroupID = 513)
หรือเพื่อค้นหาสมาชิกโดยตรงทั้งหมดของ "ผู้ใช้โดเมน" รวมถึงผู้ใช้ทั้งหมดที่กำหนดให้กลุ่มนี้เป็น "หลัก" ของพวกเขา:
(| (memberOf = cn = ผู้ใช้โดเมน, cn = ผู้ใช้, dc = MyDomain, dc = com) (primaryGroupID = 513))
ในการค้นหาผู้ใช้ทั้งหมดที่มีกลุ่มอื่นที่กำหนดให้เป็น "หลัก" ตัวกรองอาจเป็น:
(& amp;! (objectCategory = คน) (objectClass = ผู้ใช้) (primarygroupID = 513))
แหล่งที่มาที่นี่: https://social.technet.microsoft.com/Forums/windowsserver/en-US/373febac-665c-494d-91f7-834541c74bee/cant-get-all-member-objects-from-domain-users-in-ldap? ฟอรั่ม = winserverDS