locked
ldapsearch - memberof для группы "Domain Users" RRS feed

  • Вопрос

  • Добрый день!

    Столкнулся с проблемой. С помощью ldap query не могу получить полный список пользователей, находящийся в группе "Domain Users". Строка запроса выглядит следующим образом:

    (&memberof=CN=Domain Users,CN=Users,DC=office,DC=***,DC=corp)

    *** - звёздочки понятное дело заменены.

    Ниже картинка, демонстрирующая текст запроса и его результат:

    Ниже картинка, демонстрирующая список пользователей в группе "Domain Users" при просмотре свойства этой группы. Пользователей там значительно больше, чем выдаёт запрос.

    Интересная информация получается из PowerShell. Если выполнить следующий запрос, то получаем аналогичный список, что и от ldapquery.

    (Get-QADGroup "Domain Users").members | foreach {(get-qaduser $_).name}

    Якименко Владимир ***
    Наговицына Светлана ***
    Милина Татьяна ***
    Большакова Ольга ***
    Родин Иван ***
    Наумов Сергей ***
    Зорькин Сергей ***
    Клочков Олег ***
    Афанасьева Нина ***
    Овсянникова Ольга ***
    Орлова Оксана ***
    qqq
    Чистяков Дмитрий ***
    Лаврухин Антон ***
    Ильчевская Ксения ***
    Измайлова Наталья ***

    Если же выполнить другой запрос, то получаем полный список пользователей:

    Get-ADGroupMember -identity "domain users" | ft Name

    Name

    ----

    Измайлова Наталья ***

    Ильчевская Ксения ***

    Лаврухин Антон ***

    Чистяков Дмитрий ***

    qqq

    Орлова Оксана ***

    Овсянникова Ольга ***

    Афанасьева Нина ***

    Клочков Олег ***

    Зорькин Сергей ***

    Наумов Сергей ***

    Родин Иван ***

    Большакова Ольга ***

    Милина Татьяна ***

    Наговицына Светлана ***

    Якименко Владимир ***

    Куликов Дмитрий

    Скобелев Дмитрий

    Юдин Сергей

    Абрамова Анастасия ***

    Антонова Наталья ***

    Васильев Михаил ***

    и т.д.

    В итоге хочется понять, почему PowerShell даёт разные результаты, и почему нет правильного результата от ldapquery.





    • Изменено micheal_ 2 декабря 2013 г. 8:53
    2 декабря 2013 г. 8:11

Ответы

  • Михаил, проверьте пожалуйста не является ли группа которую вы исследуете Primary Group, для пользователей которые у вас не ищутся?
      Если это так ,то вам следует использовать другой метод поиска, например по PrimaryGroupID
    • Изменено Michael Sknar 2 декабря 2013 г. 10:06
    • Помечено в качестве ответа micheal_ 2 декабря 2013 г. 11:04
    2 декабря 2013 г. 10:03

Все ответы

  • Михаил, проверьте пожалуйста не является ли группа которую вы исследуете Primary Group, для пользователей которые у вас не ищутся?
      Если это так ,то вам следует использовать другой метод поиска, например по PrimaryGroupID
    • Изменено Michael Sknar 2 декабря 2013 г. 10:06
    • Помечено в качестве ответа micheal_ 2 декабря 2013 г. 11:04
    2 декабря 2013 г. 10:03
  • Михаил, Вы совершенно правы. У этих пользователей группа "Domain Users" является первичной.

    Изменив запрос на нижеследующий, я получил список недостающих пользователей:

    (&(objectCategory=person)(objectClass=user)(primaryGroupID=513))

    Спасибо за оперативный ответ!

    2 декабря 2013 г. 11:03