usuario servidor modificar entre diferencia configurar campos atributos active active-directory ldap

active-directory - servidor - diferencia entre ldap y active directory



LDAP y Active Directory dan como resultado campos faltantes para algunos resultados (2)

Puede verificar el permiso en el campo específico de los usuarios específicos con la edición adsi. De alguna manera, debe haber sido cambiado, y tendrá que restaurarlos a sus valores predeterminados. Quizás cambiaron en el nivel de algunos de los usuarios. En este caso, puedes solucionarlos en masa.

Al consultar LDAP con nuestra estructura de Active Directory para buscar cuentas de usuario, algunos registros (pero no todos) carecen de ciertos campos clave, específicamente memberOf y userAccountControl (que tiene un indicador de bit que indica si la cuenta está deshabilitada o no).

Aquí hay algunos detalles de refinación:

  • Si la consulta está configurada para filtrar en cualquiera de esos campos (como obtener una lista de cuentas no desactivadas en el grupo de departamentos de Marketing), desaparecen del conjunto de resultados (ya que, en lo que respecta a AD, faltan). .

  • Si la consulta se realiza con una cuenta de administrador de dominio altamente privilegiado, la consulta funciona bien.

  • Los registros con el problema son aproximadamente 1/4 - 1/3 de los registros totales del usuario. La mayoría parecen ser registros más nuevos (pensamos por un tiempo que tal vez estaba relacionado con la actualización a 2003 en el servidor de controlador de dominio), aunque algunos registros más antiguos también parecen afectados.

  • Una mirada superficial sobre dos registros similares, uno cuyo registro completo es visible por cualquier cuenta, y otro que no lo es, no muestra ninguna diferencia obvia.

Así que mi mejor suposición es que hay algún tipo de conjunto de denegación de permiso (¿quizás en el nivel de esquema?) Que restringe ciertos campos. Debo señalar que los administradores del dominio nunca establecieron dichos permisos a sabiendas.

ACTUALIZACIÓN / RESOLUCIÓN: ADSI Edit (en Windows 2003 Support Tools ) me ayudó a determinar un cambio en los permisos predeterminados en el rol de Usuario autenticado. Para algunas personas, el rol contenía las Restricciones de lectura de cuenta (que contiene UserAccountControl) y la Membresía de grupo de lectura (memberOf), y para otros no.

La causa original de la diferencia todavía no está clara, aunque el hecho de que la mayoría de los registros "malos" se crearon después de un cambio a Windows 2003 para el controlador de dominio, eso podría ser un factor.

SOLUCIÓN: Todavía está un poco indeciso, pero lo más probable es que sea una Política de grupo actualizada, combinada con una secuencia de comandos para actualizar las cuentas existentes.


Lo que es interesante es que los dos atributos que sugirió son de tipo solo de lectura. Miembro (atributo en un grupo) se mantiene en Active Directory. El valor de MemberOf en un usuario se calcula en función de una consulta y no se almacena estadísticamente en el objeto de usuario.

Estoy bastante seguro de que userAccountControl también es un atributo de solo lectura, a través de LDAP. (Se necesitan otros enfoques para manipularlo directamente).

No estoy seguro si eso ayuda, pero podría ser una pista en la dirección correcta. (O bien, totalmente equivocado ..)