Active-Directory
奇怪的 LDAP 搜尋結果行為
我正在建構從我們的域到我們的 Google 應用程序帳戶的 Google 目錄同步。我正在嘗試搜尋特定通訊組中的所有使用者:GoogleAppsActiveUsers。
我使用 Windows 2003 R2 作為我們的 AD。
我有 1 個使用者添加到該組:GoogleAppsActiveUsers: user@test.com 該組是 OU 公司使用者的子組。如果我的搜尋條件包括
CN=GoogleAppsActiveUsers,OU=Company Users,DC=company
在這種情況下,我返回 0 個結果。
我的過濾器是:
(objectClass=person)
但是,如果我將 DN 更改為:
OU=Company Users,DC=company
結果,我獲得了所有使用者(包括我的 GoogleAppsActiveUsers 組中的使用者。
我究竟做錯了什麼?
您指定的搜尋結果與您提供的搜尋參數完全一致。
(objectClass=person)
使用基本 DNCN=GoogleAppsActiveUsers,OU=Company Users,DC=company
,假設搜尋範圍為sub
(您沒有指定使用的搜尋範圍),將過濾候選列表中包含objectClass
值為person
(或 的子類型person
)的屬性的所有對象。在您的情況下,沒有符合這些條件的對象。當您擴大搜尋以從更高級別 (OU=Company Users,DC=company
) 開始時,再次假設搜尋範圍為sub
,將返回更多條目。您可能應該將過濾器更改為(isMemberOf=CN=GoogleAppsActiveUsers,OU=Company Users,DC=company)
或(memberOf=CN=GoogleAppsActiveUsers,OU=Company Users,DC=company)
以便找到所需組的成員。