ldapsearch - Consulta LDAP para listar todos los usuarios de un cierto grupo

Para los usuarios de Active Directory, una forma alternativa de hacerlo sería, suponiendo que todos sus grupos estén almacenados en OU=Groups,DC=CorpDir,DC=QA,DC=CorpName - para usar la consulta (&(objectCategory=group)(CN=GroupCN)) . Esto funcionará bien para todos los grupos con menos de 1500 miembros. Si desea listar todos los miembros de un gran grupo de AD, la misma consulta funcionará, pero deberá usar la recuperación a distancia para obtener todos los miembros, 1500 registros a la vez.

La clave para realizar recuperaciones a distancia es especificar el rango en los atributos usando esta sintaxis: atributo; rango = bajo-alto . Por lo tanto, para obtener todos los miembros de un grupo de AD con 3000 miembros, primero ejecute la consulta anterior solicitando el member;range=0-1499 atributo para ser devuelto, luego para el member;range=1500-2999 atributo.

memberOf (en AD) se almacena como una lista de distinguishedNames. Tu filtro debe ser algo como:

(&(objectCategory=user)(memberOf=cn=MyCustomGroup,ou=ouOfGroup,dc=subdomain,dc=domain,dc=com))

Si aún no tiene el nombre completo, puede buscarlo con:

(&(objectCategory=group)(cn=myCustomGroup))

y devuelve el atributo distinguishedName . El caso puede ser importante.