Logo faq-o-matic.net
Logo faq-o-matic.net

AD: “Domänen-Benutzer” per LDAP abfragen

17 Jan 2009
von veröffentlicht am17. Januar 2009, 12:42 Uhr Kurzlink http://faq-o-matic.net/?p=1097 Zitatlink
Kategorie Kategorie: AD: Erweiterte Abfragen   Translate with Microsoft Translator Translate EN

Wer per LDAP (oder auch per ADSI) die Mitglieder bestimmter Gruppen abfragen möchte, nutzt dafür das Feld “member” der jeweiligen Gruppe. Das funktioniert wurderbar – mit einer Ausnahme: Für die Gruppe “Domänen-Benutzer” gibt dies (in der Regel) keine Mitglieder aus. Warum ist das so? In “Domänen-Benutzer” ist doch automatisch jedes AD-Benutzerkonto Mitglied?

Die Lösung liegt in einer speziellen Eigenschaft von Windows, die Windows selbst überhaupt nicht benötigt, sondern die nur zur Kompatibilität mit anderen Systemen eingerichtet wurde. Die Gruppe "Domain Users" (im Deutschen "Domänen-Benutzer") ist bei allen bzw. fast allen Benutzern die primäre Gruppe. In dem Fall steht der jeweilige Benutzer nicht in der Mitgliederliste (Feld "member" der Gruppe). Die Mitgliedschaft wird beim jeweiligen Benutzerobjekt im Feld "primaryGroupID" geführt. Dort steht der RID der jeweiligen Gruppe (für Domain Users: 513, siehe Well-known security identifiers in Windows operating systems).

Der LDAP-Filter muss in diesem Fall also (auch) nach Objekten suchen, bei denen in primaryGroupID der Wert 513 steht:

(primaryGroupID=513)

Verwandte Beiträge:

  1. In welchen AD-Gruppen ist ein Benutzer Mitglied?
    Unsere FAQ bietet ein paar Artikel, die die Mitglieder von Gruppen ausgeben. Spannend ist aber auch die Frage: In welchen...
  2. LDAP-Grundlagen für Active Directory
    Active Directory orientiert sich an dem Standardprotokoll LDAP v3 (Lightweight Directory Access Protocol, Version 3). Obwohl es daneben noch eine...
  3. Wie kann ich abfragen, welche Rechner welches Service Pack haben?
    csvde-Methode  von Nils Kaczenski Im AD wird eine Angabe über das Service Pack in den Computereigenschaften gespeichert. Um eine Abfrage...
  4. Warum kann ich einen User nicht mit dem "memberOf"-Attribut einer Gruppe hinzufügen?
    Das Feld "memberOf" ist ein sog. "Backlink"-Feld, das zur Abfragezeit berechnet wird. Sein Wert setzt sich "rückwärts" aus den Gruppenmitgliedschaften...
  5. Carmen: Mit SQL das AD abfragen
    Mit Carmen kann man Daten aus dem AD mit SQL-Kommandos abfragen. Dazu stellt Carmen eine grafische Oberfläche bereit, in die...
Kurzlink zu diesem Artikel:
http://faq-o-matic.net/?p=1097
<<
>>

© 2005-2012 bei faq-o-matic.net. Alle Rechte an den Texten liegen bei deren Autorinnen und Autoren.

Jede Wiederveröffentlichung der Texte oder von Auszügen daraus - egal ob kommerziell oder nicht - bedarf der ausdrücklichen Genehmigung durch die jeweiligen Urheberinnen oder Urheber.

Das Impressum findet sich unter: http://www.faq-o-matic.net/impressum/

Danke, dass du faq-o-matic.net nutzt. Du hast ein einfaches Blog sehr glücklich gemacht!