LDAP 查询 -- 查找仅属于 "Domain Users" 组的用户
LDAP Query -- Find Users who ONLY belong to "Domain Users" group
我是 AD 和 LDAP 的新手,我正在尝试查找仅属于默认 "Domain Users" 组而不属于其他组的用户列表。
谢谢!
看起来答案是 here。
(&(&(primaryGroupID=513)))
显然,主要组不会像所有其他组一样公开。要检查它,您必须搜索他们的主要组。我试了一下,回头客非常多
GET-ADUSER -Filter * –属性名称,成员| Select-对象名称,@{n='GroupCount';e={ ($.memberof).count }} |Where-对象{$.GroupCount - lt 1}
我用过:
(!(memberOf=*))
返回了预期的结果。
大多数方法不会显示 "primary" 组的成员身份。对于大多数用户,"primary" 组应该是 "Domain Users"。具体来说,用户对象的 memberOf 属性和组对象的成员属性从不显示 "primary" 组成员身份。在大多数域中,"Domain Users" 组的成员属性为空,可以安全地假定所有用户都属于该组。
如果您需要查询所有 "Domain Users" 指定为 "primary" 的用户,请搜索 primaryGroupID 属性为 513 的所有用户。群组 "Domain Users" 的 primaryGroupToken 属性是相同的整数 513。LDAP 语法过滤器可以是:
(primaryGroupID=513)
或者,要查找 "Domain Users" 的所有直接成员,以及将此组指定为其 "primary" 的所有用户:
(|(memberOf=cn=Domain Users,cn=Users,dc=MyDomain,dc=com)(primaryGroupID=513))
要查找将其他某个组指定为 "primary" 的所有用户,过滤器可以是:
(&(objectCategory=person)(objectClass=user)(!primaryGroupID=513))
我是 AD 和 LDAP 的新手,我正在尝试查找仅属于默认 "Domain Users" 组而不属于其他组的用户列表。
谢谢!
看起来答案是 here。
(&(&(primaryGroupID=513)))
显然,主要组不会像所有其他组一样公开。要检查它,您必须搜索他们的主要组。我试了一下,回头客非常多
GET-ADUSER -Filter * –属性名称,成员| Select-对象名称,@{n='GroupCount';e={ ($.memberof).count }} |Where-对象{$.GroupCount - lt 1}
我用过:
(!(memberOf=*))
返回了预期的结果。
大多数方法不会显示 "primary" 组的成员身份。对于大多数用户,"primary" 组应该是 "Domain Users"。具体来说,用户对象的 memberOf 属性和组对象的成员属性从不显示 "primary" 组成员身份。在大多数域中,"Domain Users" 组的成员属性为空,可以安全地假定所有用户都属于该组。
如果您需要查询所有 "Domain Users" 指定为 "primary" 的用户,请搜索 primaryGroupID 属性为 513 的所有用户。群组 "Domain Users" 的 primaryGroupToken 属性是相同的整数 513。LDAP 语法过滤器可以是:
(primaryGroupID=513)
或者,要查找 "Domain Users" 的所有直接成员,以及将此组指定为其 "primary" 的所有用户:
(|(memberOf=cn=Domain Users,cn=Users,dc=MyDomain,dc=com)(primaryGroupID=513))
要查找将其他某个组指定为 "primary" 的所有用户,过滤器可以是:
(&(objectCategory=person)(objectClass=user)(!primaryGroupID=513))