Question Quelles sont les autorisations requises pour énumérer les groupes d'utilisateurs dans Active Directory


J'ai une application Web .net qui doit obtenir les groupes dont un utilisateur est membre dans Active Directory.

Pour ce faire, j'utilise l'attribut memberOf sur les enregistrements des utilisateurs.

J'ai besoin de connaître les autorisations requises pour lire cet attribut sur tous les enregistrements d'utilisateurs.

Actuellement, j'obtiens des résultats incohérents lorsque j'essaie de lire cet attribut. Par exemple, j'ai un groupe d'utilisateurs de 30 utilisateurs dans le même chemin d'accès à l'unité d'organisation. Utiliser mes propres informations d'identification pour interroger AD - Je peux lire l'attribut memberOf pour certains utilisateurs mais pas pour d'autres. Je sais que tous les utilisateurs ont un attribut memberOf défini comme je l’ai vérifié lors de la connexion à un compte administrateur de domaine.


19
2017-08-05 13:33


origine




Réponses:


Sur votre objet de domaine, vous devez attribuer le droit "Read MemberOf" à l'utilisateur qui interroge les objets User.

  • Ouvrez AD U & C parcourez votre objet de domaine.
  • Faites un clic droit et allez dans les propriétés:

    adu-n-c-domain

  • Onglet Sécurité, cliquez sur Avancé
  • Cliquez sur Ajouter
  • Entrez le nom d'utilisateur à ajouter
  • Cliquez sur l'onglet Propriétés
  • Dans 'Appliquer à', changez le type en Utilisateur
  • Cliquez sur la case à cocher "Read MemberOf":

    ldap-read-member-of

  • Ok sortir de là

Cela devrait le configurer de sorte que le compte spécifié puisse lire les appartenances aux groupes de tous les comptes d'utilisateurs du domaine.


26
2017-08-05 14:18



Merci sysadmin - Je ne vois toujours pas d’onglet de sécurité lorsque je clique sur les propriétés de mon domaine de test (c’est un serveur 2003 vm - installé par moi .. un développeur: P pourrait donc se tromper) .. voici une photo de l’écran des propriétés que je vois . tinypic.com/r/10p7cdy/4 - Adam Jenkin
Ah c'est ça. Accédez à Afficher et sélectionnez Fonctions avancées. Il apparaîtra une fois qu'il est allumé. J'ai toujours ça, donc j'oublie que c'est là:} - sysadmin1138♦
FWIW, cela ne semble pas s'appliquer à Windows Server 2012 où la boîte de dialogue Ajouter est assez différente. - Chris Nelson
Pour le bénéfice des utilisateurs de Server 2008R2, ces instructions sont également applicables, mais l'onglet de propriété est légèrement différent de ce qui est décrit / illustré. Le paramètre porte le libellé "Appliquer à:" et la valeur correcte est "Objets utilisateur descendants". Toutes les autres instructions restent les mêmes. - jmbpiano
Beaucoup, beaucoup d'autorisations ... sysadmin1138.net/images/ldap-read-member-of.png - Kiquenet