none
LDAP Abfrage RRS feed

  • Frage

  • Hallo,

    ich will mit einem Service Account die LDAP User auslesen. Das funktioniert auch ohne Probleme. Wenn man nun aber die Abfrage mit bestimmten Attributen filtert, dann werden die User nicht mehr angezeigt. Als Domainadmin bekommt man mit gleicher Syntax alle Userobjekte angezeigt.

    Alle deaktivierten User anzeigen:
    (&(objectclass=user)(!(objectclass=Computer))(userAccountControl:1.2.840.113556.1.4.803:=2)

    Es sieht so aus, als wenn der Service Account nicht die Rechte hätte auf bestimmte Attribute zuzugreifen, obwohl er in den Securityeinstellungen für LDAP Site und Sever Lesenrechte und Contentzugriff hat. Hat jemand eine Ahnung welche Rechte man noch wo vergeben muss?

    Danke!

    Donnerstag, 18. September 2014 10:48

Alle Antworten

  • Moin,

    so wie angegeben, ist der Suchstring falsch. Ganz am Ende fehlt eine schließende Klammer.

    Mit der falschen Syntax bekomme ich als normaler User in unserem AD auch keine Antwort. Mit der korrigierten schon. Also dürfte es zumindest kein grundsätzliches Berechtigungsproblem mit den AD-Standardberechtigungen sein.

    Hat dein Service Account normale Userrechte oder andere?

    Die tatsächlichen Berechtigungen in eurem AD kannst du dir z.B. mit LIZA gut anzeigen lassen:

    [Liza: Berechtigungen in Active Directory analysieren | faq-o-matic.net]
    http://www.faq-o-matic.net/2010/04/06/liza-berechtigungen-in-active-directory-analysieren/

    Gruß, Nils


    Nils Kaczenski
    MVP Hyper-V
    Hannover, Germany

    Donnerstag, 18. September 2014 11:59
  • Hallo Nils,

    danke für die Antwort!
    Das mit der Klammer ist wohl ein Kopierfehler. Im Test ist da noch die schließende Klammer! Mit dem Domain Admin Account funktioniert die Abfrage ja.
    Er ist Domain User und in einer Gruppe die eigentlich das LDAP auslesen können soll. Normale User bekommen bei dieser Abfrage auch keine User angezeigt.

    Ich schau mir Liza mal an.

    Danke!

    Donnerstag, 18. September 2014 12:15
  • Wenn man auf obersten Ebene im AD in den Securityeinstellungen den Auth. Usern das Recht Lesen auf Kontobeschränkung lesen gibt, dann werden die User in der Abfrge angezeigt. Wenn man das gleiche mit der extra dafür angelegten Gruppe macht, funktioniert es seltsamerweise nicht!

    ???

    Donnerstag, 18. September 2014 13:32
  • Moin,

    haben die User bzw. der Service-Account sich neu angemeldet, nachdem sie der Gruppe hinzugefügt wurden?

    Gruß, Nils


    Nils Kaczenski
    MVP Hyper-V
    Hannover, Germany

    Donnerstag, 18. September 2014 14:50