LDAP：使用廣告資源管理器獲取 OU 下的使用者

我正在使用 adexplorer 查詢 LDAP 目錄。我想獲取在其 DN 中具有特定 OU 的所有使用者。所以我嘗試了：

結果返回一個 OU，即使我選擇了 class:user。如何查找在其 DN 中有特定 OU 的使用者？

獲取在其 DN 中具有特定 OU 的所有使用者

遺憾的是，Microsoft AD 中不允許使用萬用字元搜尋可分辨名稱值。此外，不會為使用者對象自動填充“OU”屬性。OU 屬性僅在 OU 對像上自動填充。

為了達到你的目標，你需要

1. 查詢整個域中的所有使用者並在客戶端過濾該完整結果集或
2. 使用腳本查詢工具進行多個查詢。
3. 如果您知道只有一個 OU 要查詢，並且永遠不會改變，您可以使用searchbaseset 進行單個查詢。

多查詢方法的第 1 部分列舉具有所需名稱的 OU。第 2 部分執行第二個查詢，其中搜尋基礎是每個路徑，過濾器是 (objectCategory=user)。在 Powershell 中，您可以這樣做：

Import-Module -name ActiveDirectory
get-adobject -ldapFilter "(&(objectCategory=organizationalUnit)(ou=SOMENAME))" | foreach {
   get-aduser -searchscope oneLevel -searchbase $_.distinguishedName -ldapfilter "(objectCategory=user)"
}

引用自：https://serverfault.com/questions/762682