none
LDAP Suchresultate in AD reduzieren oder beschränken RRS feed

  • Frage

  • Hallo,

    ich wollte mal fragen ob es eine Möglichkeit gibt Domänenweit oder auf DC Level, die Anzahl von Ergebnissen eines LDAP Queries zu beschränken.

    Zielstellung ist, das von beliebigen ldap-fähigen clients (ldp.exe etc.) die z.b. nicht zur domäne gehören oder keine windows-clients sind (wo also GPOs nicht wirken können), die von einem query zurückgelieferte Anzahl an Objekten zu beschränken.

    MaxPagedResults ist dabei nicht das was ich suche, da die effektive Anzahl zu reduzieren ist, ohne das paging Möglichkeit besteht. Die Clients bzw. user die queries stellen, sollen quasi gezwungen sein, Queries so präzise und gezielt zu definieren das nur maximal 1-5 Ergebnisse zurückgeliefert werden.

    Dies wird bei unserer OpenLDAP-instanz so umgesetzt: queries brechen ab dem 5. Suchergebnis serverseitg ab, Ergebnisse zu liefern.

    Gibt es da an irgendeiner Stelle eine Möglichkeit dies für bestimmte Usergruppen, oder global im system zu festzulegen? Gruppenrichtlinien scheiden leider aus, aufgrund der Anforderung das auch nicht-windowsclients entsprechend, nach einem bind, eingeschränkt werden sollen.

    Hintergrund ist eine neue IT-Sicherheitspolicy unseres Unternehmens.

    Donnerstag, 21. Juni 2012 13:53

Antworten

  •  
    > Wenn die Verarbeitung der GPOs ein LDAP-Query ist, der kein Paging
    > macht, verstehe ich den Effekt natürlich, die Fehlermeldung ist nur
    > ein wenig irreführend da in ihr hartkodiert der Wert "999" als Grenze
    > angeführt wird.
     
    999 ist im GPSvc fest codiert. Und die Meldung dürfte daher rühren, daß
    vom LDAP-Dienst der gleiche RC kommt, wenn die 999 überschritten werden
    und wenn es "more results" gibt.
     
    > Gibt es auch eine Möglichkeit solche Resultsizes auf bestimmte OU
    > Zweige / Bereiche zu beschränken, oder kann man das nur als globale
    > LDAP-Policy anwenden? Wenn letzteres der Fall ist, dann hat sich meine
    > Problematik damit als nicht-lösbar erledigt.
    >
     
    Das geht nur als LDAP Policy.
     
    mfg Martin
     

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!
    Mittwoch, 4. Juli 2012 10:04

Alle Antworten

  • Hallo,

    Du kannst das Attribut sizelimit nutzten um die Suche einzuschraenken:

    http://msdn.microsoft.com/en-US/library/system.directoryservices.directorysearcher_properties(v=vs.80)

    Ein Beispiel, dass die Zusammenhaenge zwischen sizelimit und pagesize beschreibt findest du hier:

    http://msdn.microsoft.com/en-US/library/ms180880(v=vs.80)

    Viele Gruesse

     Thomas


    regards Thomas Paetzold visit my blog on: http://sus42.wordpress.com


    • Bearbeitet Peddy1st Sonntag, 24. Juni 2012 15:32
    Sonntag, 24. Juni 2012 15:25
  • Hallo Peddy1st,

    danke für den Hinweis.

    Das Beispiel bezieht sich scheinbar konkret auf .NET Programmierung & Scripting. Jedoch erwähnen die angeführten links leider nicht wie ich diese Limits Serverseitig vorgeben kann.

    Weitere Recherche nach "sizelimit" für Serverseitige Vorgaben (wie z.b. LDAP Policies), waren leider nicht erfolgreich.

    Ein konkreter Tipp wie oder wo ich "sizelimit" serverseitig konfigurieren kann?

    Viele Grüße


    Montag, 25. Juni 2012 06:00
  • Hallo,

    natuerlich kann ich versuchen auch hierbei weiterzuhelfen. Es gibt zahlreiche Parameter die Du Serverseitig konfigurieren kannst. hierzu starte bitte das Programm ntdsutil.exe (Windows 2000/Windows Server 2003 /dsmgmt.exe (ab windows Server 2003R2) in einer Kommandozeile

    Danach bitte LDAP Policies - Connections - connect to server auswählen. Anschliessend kannst Du dir die Parameter mittels show values ansehen. Es gibt meines Erachtens an dieser Stelle zwei Parameter die wichtig sind:

    maxPageSize und maxResultSetSize


    regards Thomas Paetzold visit my blog on: http://sus42.wordpress.com

    Dienstag, 3. Juli 2012 16:48
  • Hallo,

    danke für die Hilfe, ich habe das Ganze mal mit MaxPageSize ausprobiert.

    Interessanter Effekt, der dies Ganze Konzept (mein Bauchgefühl bestätigt mich da) obsolet macht: bei einer Reduktion der Pagesize auf den in der Firma geforderten Wert von 5, funktioniert die GPO Verarbeitung in der domäne nicht mehr korrekt.

    Eine OU hatte 6 GPOs verlinkt, und die verarbeitung stoppt Tatsache dort bei der Verarbeitung der Policies. Quittiert wird das mit der Fehlermeldung das die maximal zulässige Anzahl an GPOS ("999") überschritten wurde. Auf die Rechnerkonten dort drinnen wurden daraufhin keine Gruppenrichtlinien mehr angewendet.

    Wenn die Verarbeitung der GPOs ein LDAP-Query ist, der kein Paging macht, verstehe ich den Effekt natürlich, die Fehlermeldung ist nur ein wenig irreführend da in ihr hartkodiert der Wert "999" als Grenze angeführt wird.

    Gibt es auch eine Möglichkeit solche Resultsizes auf bestimmte OU Zweige / Bereiche zu beschränken, oder kann man das nur als globale LDAP-Policy anwenden? Wenn letzteres der Fall ist, dann hat sich meine Problematik damit als nicht-lösbar erledigt.

    (in Server 2012 kommt ein Wert namens "MaxBatchReturnMessages" hinzu, leider wird er noch nirgends dokumentiert was er genau bewirkt... wäre das ein zukünftiger Ansatz? zumindest suggeriert der Name das...)

    Mittwoch, 4. Juli 2012 06:48
  •  
    > Wenn die Verarbeitung der GPOs ein LDAP-Query ist, der kein Paging
    > macht, verstehe ich den Effekt natürlich, die Fehlermeldung ist nur
    > ein wenig irreführend da in ihr hartkodiert der Wert "999" als Grenze
    > angeführt wird.
     
    999 ist im GPSvc fest codiert. Und die Meldung dürfte daher rühren, daß
    vom LDAP-Dienst der gleiche RC kommt, wenn die 999 überschritten werden
    und wenn es "more results" gibt.
     
    > Gibt es auch eine Möglichkeit solche Resultsizes auf bestimmte OU
    > Zweige / Bereiche zu beschränken, oder kann man das nur als globale
    > LDAP-Policy anwenden? Wenn letzteres der Fall ist, dann hat sich meine
    > Problematik damit als nicht-lösbar erledigt.
    >
     
    Das geht nur als LDAP Policy.
     
    mfg Martin
     

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!
    Mittwoch, 4. Juli 2012 10:04
  • Danke für die hilfe bisher, das ist natürlich eine Aussage die ich dann für unser Szenario so treffen kann.

    Damit hat sich das delikate Thema erstmal für mich erledigt :)

    Montag, 9. Juli 2012 16:36