A consulta LDAP não retorna todas as contas com login específico

Navegue suas respostas
3

Eu tenho um domínio do Windows 2008 que estou consultando via ldapsearch e, se usar uma conta de administrador de domínio, recebo todos os usuários que esperaria, mas se usar a conta de serviço que criei para esse fim, sinto falta de objetos aleatórios. / p>

Por exemplo: 

#> ldapsearch -LLL -H ldap://domain-controller.my-domain.com:389 -b 'dc=MY-DOMAIN,dc=COM' -D 'MY-DOMAIN\administrator' -W '(&(objectClass=Person)(sAMAccountName=*)(memberof=cn=StashTeam,ou=MyTeams,ou=MyDomainUsers,dc=MY-DOMAIN,dc=COM)(!(userAccountControl=514)))' | grep cn:

Eu obtenho uma lista de: 

cn: Homer Simpson
cn: Marge Simpson
cn: Bart Simpson
cn: Lisa Simpson
cn: Maggie Simpson

No entanto, se eu correr (usando minha conta de serviço): 

#> ldapsearch -LLL -H ldap://domain-controller.my-domain.com:389 -b 'dc=MY-DOMAIN,dc=COM' -D 'MY-DOMAIN\ServiceUser' -W '(&(objectClass=Person)(sAMAccountName=*)(memberof=cn=StashTeam,ou=MyTeams,ou=MyDomainUsers,dc=MY-DOMAIN,dc=COM)(!(userAccountControl=514)))' | grep cn:

Eu recebo uma lista como: 

cn: Homer Simpson
cn: Lisa Simpson
cn: Maggie Simpson
    
por David George 30.09.2013 / 23:54

1 resposta

2

Este é provavelmente um problema de permissões ocultas, pois o AD pode ocultar contas em locais ímpares e as permissões podem ser removidas se você não tomar cuidado.

A primeira etapa da solução de problemas que eu faço é verificar se há alguma correlação na localização das contas que estão sendo perdidas. Isso pode apontar para um local onde os direitos são sutilmente diferentes.

Se eles não se correlacionam a locais específicos, a próxima etapa é examinar as permissões nos objetos individuais para determinar se há diferenças que podem atrapalhar.

    
por 01.10.2013 / 02:00

Tags

Problemas com o vfs.file.exists no Zabbix 2.0 É possível transformar este controlador de domínio em um PDC?