michael@mycontoso.comobjectSid を持つユーザーを検索するとS-1-5-21-1234567890-123465789-123456789-123456、 Foreign Security Principal しか見つかりませんCN=S-1-5-21-1234567890-123465789-123456789-123456,CN=ForeignSecurityPrincipals,DC=contoso,DC=com。その外部セキュリティ プリンシパルには、読み取る必要のあるプロパティが含まれていないため、その FSP の「ホーム AD」にアクセスする必要があると思います。
FSP には、常にユーザー オブジェクトの LDAP パスを含むプロパティがありますか? Home AD にアクセスするための標準化された/推奨される方法はありますか?
残念ながら、FSP には、参照されるオブジェクトの LDAP パスが含まれていません。(オブジェクトが含まれている場合は、オブジェクトの名前変更/移動後に複製する必要があります)
外部フォレストからの SID を使用して、含まれている AD を取り戻す簡単な方法はないようです。ローカル フォレストの場合は、にバインドすることで実行できますLDAP://<SID=S-1-xxxxx>。
それほど簡単ではない方法は、ドメイン SID をドメイン マップに構築することです。
信頼されたフォレスト内の各ドメインについて説明し、こちらのスクリプト (「スクリプト ソリューション」セクション) を使用してマップを作成します。
セキュリティ プリンシパルの SID は、<domain SID>-<RID>.
例: のドメイン SID はS-1-5-21-1234567890-123465789-123456789-123456ですS-1-5-21-1234567890-123465789-123456789。
ドメイン SID (.NET でSecurityIdentifierクラスとAccountDomainSidプロパティを使用して実行できる場合) とマップを抽出すると、含まれているドメインを見つけることができます。
msDS-PrincipalNameの取得を試みることができます:
ldapsearch <options> -b "CN=ForeignSecurityPrincipals,DC=contoso,DC=com" "CN=S-1-5-21-1234567890-123465789-123456789-123456" msDS-PrincipalName
FOO\michael@mycontoso.com
それ以外の場合、アプローチはhttps://stackoverflow.com/a/27038494/10408280が説明するとおりです。