我需要使用AD来授权一些在线工具,以便在一个大的国际公司的三个国家中简化软件开发。
工具AD / LDAP部分有一行指定BASE DN,另一行用于应用用户filter。
默认的用户filter是:(&(objectCategory = Person)(sAMAccountName = *))
我需要到达的人员位于以下广告位置:
每个帐户条目包含4-5个更深的层次,我需要所有这些人。
如果我只将BASE DN设置为DC = MyCompany,DC = com (这是我相信它应该是的),我有超过250000用户返回,其中只有大约2000应该有访问权限。 :-(我的工具caching条目,并且需要很长时间才能同步。:-(
我想使用更具体的filter更具体的目标的位置。
我试过各种各样的东西,search高低,也问工具开发人员和我们的IT部门有关如何做到这一点,但没有发现任何远程可用。
我相信filter应该是沿着以下几点 – 除了我现在知道memberOf检查一个组的成员身份,而不是AD中的层次结构位置
(&(objectCategory=Person)(sAMAccountName=*) (| (memberOf:=OU=Accounts,OU=Aarhus,OU=RS,OU=EMA,OU=AAA,DC=MyCompany,DC=com) (memberOf:=OU=Accounts,OU=Atlanta,OU=RS,OU=AMR,OU=BBB,DC=MyCompany,DC=com) (memberOf:=OU=Accounts,OU=Xian,OU=COR,OU=AP,OU=CCC,DC=MyCompany,DC=com) ) ) 只是为了澄清,我不可能创build(并保持更新)一组应该有权访问的所有人员和子位置。
我急切地等待着你的build议
注意:这是我第一次接触到AD / LDAP,所以我可能忽略了这个解释中的一些东西 – 请尽量填空。 谢谢。