Welche Berechtigungen sind zum Auflisten von Benutzergruppen in Active Directory erforderlich?

19

Ich habe eine .net-Webanwendung, die die Gruppen abrufen muss, denen ein Benutzer in Active Directory angehört.

Hierzu verwende ich das Attribut memberOf in den Benutzerdatensätzen.

Ich muss die erforderlichen Berechtigungen zum Lesen dieses Attributs in allen Benutzerdatensätzen kennen.

Derzeit erhalte ich inkonsistente Ergebnisse, wenn ich versuche, dieses Attribut zu lesen. Zum Beispiel habe ich eine Benutzergruppe von 30 Benutzern im gleichen OU-Pfad. Verwenden meiner eigenen Anmeldeinformationen zum Abfragen von AD - Ich kann das memberOf-Attribut für einige Benutzer, jedoch nicht für andere Benutzer lesen. Ich weiß, dass für alle Benutzer ein memberOf-Attribut festgelegt ist, das ich bei der Anmeldung mit einem Domänenadministratorkonto überprüft habe.

Adam Jenkin
quelle

Antworten:

26

Auf Ihrem Domain-Objekt müssen Sie dem abfragenden Benutzer das Recht "Read MemberOf" für Benutzerobjekte zuweisen.

  • Öffnen Sie AD U & C und navigieren Sie zu Ihrem Domänenobjekt
  • Rechtsklicke und gehe zu den Eigenschaften:

    adu-nc-domain

  • Klicken Sie auf der Registerkarte Sicherheit auf Erweitert
  • Klicken Sie auf Hinzufügen
  • Geben Sie den hinzuzufügenden Benutzernamen ein
  • Klicken Sie auf die Registerkarte Eigenschaften
  • Ändern Sie unter "Übernehmen für" den Typ in "Benutzer"
  • Aktivieren Sie das Kontrollkästchen "Read MemberOf":

    ldap-read-member-of

  • OK da raus

Das sollte es einrichten, damit das angegebene Konto die Gruppenmitgliedschaften aller Benutzerkonten in der Domäne lesen kann.

sysadmin1138
quelle
2
Vielen Dank, sysadmin. Beim Klicken auf Eigenschaften in meiner Testdomäne wird immer noch kein Sicherheitsregister angezeigt (es handelt sich um einen von mir eingerichteten Server 2003 VM. Ein Entwickler: P könnte also falsch sein.). Hier ist ein Bild des Eigenschaftenbildschirms . tinypic.com/r/10p7cdy/4
Adam Jenkin
9
Ah, das ist es. Gehen Sie zu Ansicht und wählen Sie Erweiterte Funktionen. Es wird angezeigt, sobald es eingeschaltet ist. Ich habe das immer an und vergesse, dass es da ist:}
sysadmin1138
FWIW, dies scheint nicht auf Windows Server 2012 zuzutreffen, wo das Dialogfeld Hinzufügen ganz anders ist.
Chris Nelson
Für alle Benutzer von Server 2008R2 gelten diese Anweisungen gleichermaßen. Die Registerkarte "Eigenschaften" unterscheidet sich jedoch geringfügig von den hier beschriebenen / abgebildeten. Die Einstellung trägt die Bezeichnung "Anwenden auf:" und der richtige Wert lautet "Nachgeordnete Benutzerobjekte". Alle anderen Anweisungen bleiben gleich.
Jmbpiano
Viele, viele Berechtigungen ... sysadmin1138.net/images/ldap-read-member-of.png
Kiquenet