Logo faq-o-matic.net
Logo faq-o-matic.net

AD: “Domänen-Benutzer” per LDAP abfragen

von veröffentlicht am17. Januar 2009, 12:42 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: AD: Erweiterte Abfragen   Translate with Google Translate Translate EN   Die angezeigte Seite drucken

Wer per LDAP (oder auch per ADSI) die Mitglieder bestimmter Gruppen abfragen möchte, nutzt dafür das Feld “member” der jeweiligen Gruppe. Das funktioniert wurderbar – mit einer Ausnahme: Für die Gruppe “Domänen-Benutzer” gibt dies (in der Regel) keine Mitglieder aus. Warum ist das so? In “Domänen-Benutzer” ist doch automatisch jedes AD-Benutzerkonto Mitglied?

Die Lösung liegt in einer speziellen Eigenschaft von Windows, die Windows selbst überhaupt nicht benötigt, sondern die nur zur Kompatibilität mit anderen Systemen eingerichtet wurde. Die Gruppe „Domain Users“ (im Deutschen „Domänen-Benutzer“) ist bei allen bzw. fast allen Benutzern die primäre Gruppe. In dem Fall steht der jeweilige Benutzer nicht in der Mitgliederliste (Feld „member“ der Gruppe). Die Mitgliedschaft wird beim jeweiligen Benutzerobjekt im Feld „primaryGroupID“ geführt. Dort steht der RID der jeweiligen Gruppe (für Domain Users: 513, siehe Well-known security identifiers in Windows operating systems).

Der LDAP-Filter muss in diesem Fall also (auch) nach Objekten suchen, bei denen in primaryGroupID der Wert 513 steht:

(primaryGroupID=513)

© 2005-2019 bei faq-o-matic.net. Alle Rechte an den Texten liegen bei deren Autorinnen und Autoren.

Jede Wiederveröffentlichung der Texte oder von Auszügen daraus - egal ob kommerziell oder nicht - bedarf der ausdrücklichen Genehmigung durch die jeweiligen Urheberinnen oder Urheber.

Das Impressum findet sich unter: http://www.faq-o-matic.net/impressum/

Danke, dass du faq-o-matic.net nutzt. Du hast ein einfaches Blog sehr glücklich gemacht!