在不使用 GC 的情况下搜索整个 Active Directory 林
Search in whole Active Directory Forest without using GC
假设我有下面的森林:
- home.org (root domain)
- child1.home.org (child domain 1)
- child2.home.org (child domain 2)
- ...
而且我想通过一些 LDAP 过滤器找到我的林中的所有 AD 组。
当然我可以使用 GC,但这不是我的情况,因为我想检索 GC 中不存在的属性(例如 managedBy)。
我认为我可以启用 Chase Referrals 并使用根域中的 BasedDN 进行搜索。但看起来 Referrals 与分页查询不兼容 (https://support.microsoft.com/en-us/kb/2561166)。我想使用分页查询,因为我想接收所有组,尽管服务器可能存在限制(服务器端的 MaxPageSize 限制)。
这样说对吗:要解决这个问题,我应该在没有 Chase Referrals 的情况下独立地通过所有域执行 LDAP 查询?或者也许有人有更优雅的解决方案?
知识库文章提供了一些解决方法,但您可能需要遍历域层次结构。对于关于更优雅的解决方案的问题,您可以简单地将 managedBy 添加到部分属性集,然后它将在全局目录中可用。
假设我有下面的森林:
- home.org (root domain)
- child1.home.org (child domain 1)
- child2.home.org (child domain 2)
- ...
而且我想通过一些 LDAP 过滤器找到我的林中的所有 AD 组。
当然我可以使用 GC,但这不是我的情况,因为我想检索 GC 中不存在的属性(例如 managedBy)。
我认为我可以启用 Chase Referrals 并使用根域中的 BasedDN 进行搜索。但看起来 Referrals 与分页查询不兼容 (https://support.microsoft.com/en-us/kb/2561166)。我想使用分页查询,因为我想接收所有组,尽管服务器可能存在限制(服务器端的 MaxPageSize 限制)。
这样说对吗:要解决这个问题,我应该在没有 Chase Referrals 的情况下独立地通过所有域执行 LDAP 查询?或者也许有人有更优雅的解决方案?
知识库文章提供了一些解决方法,但您可能需要遍历域层次结构。对于关于更优雅的解决方案的问题,您可以简单地将 managedBy 添加到部分属性集,然后它将在全局目录中可用。