LDAP 構造の場合、グループがメンバーとして組織単位を持つことは可能でしょうか? それとも、グループ オブジェクトの下にあるものはすべて、ユーザーまたは別のグループになることがほぼ保証されていますか?
また、以下は保証されていますか?
1) ユーザーの親はグループまたは組織単位のいずれかです
2) グループの親はグループまたは組織単位のいずれかです
3) 組織単位の親は組織単位またはルートです
ありがとう、私はまだ LDAP の初心者です。
質問する
2759 次
2 に答える
3
objectClassを使用するgroupOfUniqueNamesと、オプションの多値属性は、RDN コンポーネントの一部またはすべてがまたはuniqueMemberである識別名を含む、任意の有効な識別名にすることができます。ouorganizationalUnit
こちらもご覧ください
groupOfUniqueNamesrequireの一部の実装とそうでない実装があることに注意してくださいuniqueMember。
于 2012-04-04T19:32:46.927 に答える
3
いいえ、OU は LDAP グループのメンバーになることはできません
(少なくとも、私が知っている LDAP 実装であり、ここで話している Windows Active Directory ではできません)。
組織単位は、他のオブジェクト (ユーザー アカウントやコンピューター アカウント、グループなどのセキュリティ プリンシパル) を含めることができるコンテナーです。
コンテナーには、アクセス許可を割り当てることもできません。コンテナーはセキュリティ プリンシパルではないため、ファイルやディレクトリなどに対する OU 権限を付与することはできません。
グループには、セキュリティ プリンシパルをメンバー (他のグループ、ユーザー、またはコンピューター) として含めることができますが、コンテナーを含めることはできません。とにかく、コンテナーを含めることは意味がありません。コンテナーは "セキュリティ プリンシパル" ではないためです。たとえば、コンテナーにアクセス許可を割り当てることはできないため、それらをグループに追加しても論理的な意味はありません。
これは、Novell の NDS / eDirectory など、組織と OU に権限がある他のディレクトリ システムとはまったく異なります (ただし、これらのオブジェクトをグループのメンバーシップ リストに追加できたかどうかは思い出せません)。
また、コンテインメント(グループまたはユーザーは常に1 つのコンテナーにのみ含まれる) とグループ メンバーシップ (ユーザーは多くのグループのメンバーになることができますが、それらのグループに含まれているのではなく、グループのメンバーにすぎません) を区別する必要があります。 2 つのまったく異なる概念。
于 2012-04-04T19:19:19.357 に答える