Active-Directory

LDAP:使用廣告資源管理器獲取 OU 下的使用者

  • March 25, 2022

我正在使用 adexplorer 查詢 LDAP 目錄。我想獲取在其 DN 中具有特定 OU 的所有使用者。所以我嘗試了:

在此處輸入圖像描述

結果返回一個 OU,即使我選擇了 class:user。如何查找在其 DN 中有特定 OU 的使用者?

獲取在其 DN 中具有特定 OU 的所有使用者

遺憾的是,Microsoft AD 中不允許使用萬用字元搜尋可分辨名稱值。此外,不會為使用者對象自動填充“OU”屬性。OU 屬性僅在 OU 對像上自動填充。

為了達到你的目標,你需要

  1. 查詢整個域中的所有使用者並在客戶端過濾該完整結果集或
  2. 使用腳本查詢工具進行多個查詢。
  3. 如果您知道只有一個 OU 要查詢,並且永遠不會改變,您可以使用searchbaseset 進行單個查詢。

多查詢方法的第 1 部分列舉具有所需名稱的 OU。第 2 部分執行第二個查詢,其中搜尋基礎是每個路徑,過濾器是 (objectCategory=user)。在 Powershell 中,您可以這樣做:

Import-Module -name ActiveDirectory
get-adobject -ldapFilter "(&(objectCategory=organizationalUnit)(ou=SOMENAME))" | foreach {
   get-aduser -searchscope oneLevel -searchbase $_.distinguishedName -ldapfilter "(objectCategory=user)"
}

引用自:https://serverfault.com/questions/762682