これが可能かどうかはわかりませんが、LDAPを介してAD内の特定のOUから次のサブOUを取得したいと思います。
特定のユーザーXが管理できるすべてのOU(パスワードの設定、ユーザーまたはグループの編集など)を取得します。
OUを取得するには、でフィルタリングできますが(objectClass=organizationalUnit)、管理者権限でフィルタリングするにはどうすればよいですか?
質問する
248 次
1 に答える
1
それは不可能だと思います。nTSecurityDescriptor管理権限は、属性のDACLに格納されます。アクセスチェックを実行するには、拒否トランプが許可されているため、DACL内のすべてのACEを評価する必要があります。tokenGroupsまた、ユーザーがメンバーであるすべてのグループを知っている必要があります。これには、属性(またはログオントークン)への独自のクエリが必要です。ACLのすべての複雑さを考慮に入れて、使用可能な限られた演算子を使用してLDAPクエリを構築する方法がわかりません。
于 2012-12-06T21:50:46.277 に答える