Active Directoryでユーザーグループを列挙するために必要なアクセス許可

19

ユーザーがActive Directoryのメンバーであるグループを取得する必要がある.net Webアプリケーションがあります。

これを行うには、ユーザーレコードのmemberOf属性を使用します。

すべてのユーザーレコードでこの属性を読み取るために必要な権限を知る必要があります。

現在、この属性を読み取ろうとすると、一貫性のない結果が得られます。たとえば、同じOUパスに30ユーザーのユーザーグループがあります。自分の資格情報を使用してADを照会する-一部のユーザーのmemberOf属性を読み取ることはできますが、他のユーザーの読み取りはできません。ドメイン管理者アカウントでログオンしたときにチェックしたため、すべてのユーザーにmemberOf属性が設定されていることがわかります。

active-directory  ldap 
アダム・ジェンキン
ソース

回答:

26

ドメインオブジェクトで、クエリを実行するユーザーに "Read MemberOf"権限をユーザーオブジェクトに割り当てる必要があります。

  • AD U&Cを開き、ドメインオブジェクトを参照します
  • 右クリックしてプロパティに移動します。

    adu-nc-domain

  • [セキュリティ]タブで、[詳細設定]をクリックします
  • 追加をクリックします
  • 追加するユーザー名を入力してください
  • [プロパティ]タブをクリックします
  • 「適用先」で、タイプを「ユーザー」に変更します
  • 「Read MemberOf」チェックボックスをクリックします。

    ldap-read-member-of

  • OK

指定されたアカウントがドメイン内のすべてのユーザーアカウントのグループメンバーシップを読み取れるように設定する必要があります。

sysadmin1138
ソース
2
sysadminに感謝-テストドメインのプロパティをクリックしてもセキュリティタブが表示されません(サーバー2003 vm-私が設定しました。開発者:Pので、間違っている可能性があります)。 。tinypic.com/r/10p7cdy/4
アダムジェンキン
9
ああ、それだけです。[表示]に移動し、[拡張機能]を選択します。オンにすると表示されます。私はいつもそれを持っているので、そこにあることを忘れます:}
sysadmin1138
FWIW、これは[追加]ダイアログがまったく異なるWindows Server 2012には適用されないようです。
クリスネルソン
Server 2008R2のすべてのユーザーの利益のために、これらの手順は同じように適用できますが、プロパティタブは説明/写真とは少し異なります。この設定には「適用先」というラベルが付いており、正しい値は「子孫ユーザーオブジェクト」です。他のすべての指示は同じままです。
jmbpiano
Kiquenet
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.