Active Directory成员和属性成员中的信息不一致 -- active-directory 领域 和 users 领域 和 groups 领域 服务器管理 相关 的问题

Inconsistent information in Active Directory Members and Member Of properties


简体版||繁體版
1
vote

问题

中文

我正在尝试在Active Directory中获取组成员的列表。我正在使用LDAP查询,但我认为这不相关。我发现了我认为在Active Directory群体会员资料中存在的不一致:

安全组 G 已使用全局范围创建。查看 G 使用广告用户和计算机MMC管理单元显示三个用户, A B <代码> C 在成员选项卡上。

但是,在查看 A B C ,只有 filename0 filename1 abcdefghijklmnfilename2 在"成员" 选项卡上列出 - filename3 not 存在于用户的"成员" 选项卡上 filename4

如何是用户位于组的成员列表中,但该组是该用户的"成员" 列表中的? < / p>

(请注意,组 filename5 not 任何用户的主要组)

我最初认为这是一个ldap查询问题,但不是:查询准确地报告了Active Directory中的信息,这是不一致的

英文原文

I'm trying to get a list of the members of a group in Active Directory. I'm using LDAP queries, but I think that's not relevant. I've found what I believe to be an inconsistency in Active Directory's group membership information:

A security group G has been created with Global scope. Viewing G's properties using the AD Users and Computers MMC Snap-in shows three users, A B C on the Members tab.

However, on viewing the User properties of A B and C, only A and B have G listed on the 'Member Of' tab - G is not present on the 'Member Of' tab of user C.

How can it be that a user is in the Members list of a group, but that group is not in the 'Member Of' list for that user?

(note that the group G is not any user's primary group)

(I originally thought this was an LDAP querying problem, but it isn't: the queries accurately report the information in Active Directory, and it's that that's inconsistent)

        
       
       

回答列表

2
 
vote

如果您正在查询包含来自多个AD域的条目的组(全局VS通用组),则可能存在完整的结果。关于主题在这里

(注意:在链接页面上,我看到从Che的帖子中间的翼形字体。它们在这里转换为真实的字体:

  • 在包含用户的域的DC中,用户在该域中的组成员身份完成构造;但是,Memberof不包含其他域中的域本地和全局组中的用户的成员资格。
  • 在GC服务器上,对于所有通用组成员身份,用户的Memberof是完整的。

 

There can be an issue getting complete results if you are querying a group that contains entries from multiple AD domains (global vs universal groups). There is more on the topic here

(Note: on the linked page, I see wingding fonts in the middle of the post from Che. Here they are converted to a real font:

  • At a DC for the domain that contains the user, memberOf for the user is complete with respect to group membership in that domain; however, memberOf does not contain the user's membership in domain local and global groups in other domains.
  • At a GC server, memberOf for the user is complete with respect to all universal group memberships.

)

 
 
 
 

相关问题

0  无法从Active Directory访问组的网络设备  ( Network device failing to access groups from active directory ) 
仅发生1个用户,当Tacacs +尝试进行身份验证和重新检测组时,它失败时,根据日志身份验证是一个成功但是在带有错误的重试组时失败,"24027组搜索以错误结束" 。 - &gt;用户ID适用于除Tacacs +之外的所有其他应用程序。 - &gt;可能是思科问题,但有机会域控制器正在重置连接吗? 请告诉我有些...

11  在SQL Server中,您应该何时将主数据文件组拆分为辅助数据文件?  ( In sql server when should you split your primary data filegroup into secondary ) 
我们的数据库当前只有一个文件组,主要包含8GB的数据(表行,索引,全文目录)。 何时是将其拆分为辅助数据文件的好时机?我应该知道的一些标准是什么? ...

7  是否可以将用户添加到“Apache”组?  ( Is it ok to add users to the apache group ) 
是否有关于将用户添加到Apache组的任何重要安全问题?我是程序员,我需要访问httpdocs中的所有文件/目录 - 将我的用户添加到该组中是否有任何问题? ...

0  正确分配权限和组  ( Correctly assigning permissions groups ) 
所以我的nginx正在使用 www-data:www-data ,我想通过正确的sftp将文件部署到我的服务器。 所以我创建了一个名为 abcdefghijklmn1 的用户,并将他添加到 www-data 组。 $ id beanstalk uid=1000(beanstalk) gid=1000(beans...

6  组和权限:嵌套UNIX组  ( Groups and permissions nested unix groups ) 
我们正在越来越多的外部开发人员(来自不同的客户),并且开始需要比Adhoc更好的策略,而是添加到我们的服务器并向他们添加到他们的yourcompany集团(为/ var / www / - 我们的工作空间中拥有一切) 和最佳解决方案是能够嵌套组,所以如果我能@ourcompany会全部成员@ourcompany。...

3  如果您没有文档,您如何了解广告组的权限?  ( How do you discover what permissions an ad group has if you have no documentati ) 
你刚刚聘请了A公司A,旧管理员不再在那里。请求开始通过将用户添加到Internet Rimitict组。当您查看群体时,都不是有意义的,并且在那里没有文档来解释每个群体具有权限以及它所的内容。这将提高我的关注。对于安全性,您如何知道每个人是否具有正确的权利。 如何了解该组织权限的权利?那里有一个工具,它会找到这个信息...

1  在Win2K3 Fileserver上忽略了组权限(似乎)  ( Group permissions seemingly ignored on win2k3 fileserver ) 
我们在我们的广告设置10年以上的"单程" 之后,我正在寻找许可结构,并意识到我们的业务实际上已经变化到我们应该与我们当前的国家而不是10年前的地方。考虑到这一点,我创建了一组具有适当个人作为成员的组。到目前为止,所以好。 我添加新组和成员后一段时间过去了。然后,我在文件服务器上制作了一个新目录,并将新组"foo" 设...

1  Exchange 2010:防止运输规则应用于分发组列出列表中的所有用户  ( Exchange 2010 prevent transport rule applied to distribution group from listing ) 
我们有Exchange 2010.说我正在尝试禁止用户在内部配送组上包括大附件。我已经设置了一个类似于以下内容的传输规则: Apply rule to messages from users that are 'Inside the organization' and when any of the re...

0  组权限  ( Group permissions ) 
我有一个名为dir和group grp和两个用户,root和Jortiz的目录。我在以root身份登录时创建了dir,并将dir的组所有权设置为grp: drwxrw-r-x 2 root GRP 4096 2009-11-12 01:04 DIR 我还将Jortiz添加到GRP组并注销。我重新登录为Jor...

3  Debian员工小组会导致问题  ( Debian staff group causes problems ) 
我们有一个(旧和成长)的Linux机器(大多是Debian)的基础设施。对于用户身份验证,我们使用LDAP,其中我们已定义具有不同访问权限的多个组。 Unulully其中一个组称为 emerge0 ,它已成为Debian中的标准组名称。后果是,每当更新包装包的包,那么与群组有关(例如, emerge1 ),它会在电子...




© 2022 it.wenda123.org All Rights Reserved. 问答之家 版权所有