blasco99 0 Geschrieben 22. August 2014 Melden Teilen Geschrieben 22. August 2014 Hallo all, ich habe bezüglich eines Filters ein Problem und würde gern mal ein Szenario schildern. Vielleicht kann mir hier ja jemand helfen. OU=Abteilung1 OU=Gruppen CN=Gruppe1_Abteilung1 -> Mitglied von Gruppe99_Gesamt und Gruppe 98_Gesamt CN=Gruppe2_Abteilung1 -> Mitglied von Gruppe98_Gesamt OU=User CN=Mustermann,Martin -> Mitglied von Gruppe1_Abteilung1 CN=Testfrau, Eva -> Mitglied von Gruppe2_Abteilung1 OU=Abteilung2 OU=Gruppen CN=Gruppe1_Abteilung2 -> Mitglied von Gruppe99_Gesamt CN=Gruppe2_Abteilung2 -> Mitglied von Gruppe98_Gesamt und Gruppe 99_Gesamt OU=User CN=Bauern,Fänger -> Mitglied von Gruppe1_Abteilung2 CN=Schweiß, Axel -> Mitglied von Gruppe2_Abteilung2 OU=Gesamt OU=Gruppen CN= Gruppe98_Gesamt enthält Gruppe2_Abteilung1, Gruppe1_Abteilung1, Gruppe2_Abteilung2 CN= Gruppe99_Gesamt enthält Gruppe1_Abteilung1, Gruppe1_Abteilung2, Gruppe2_Abteilung2 Wir würden gern Gruppe98_Gesamt und/oder Gruppe99_Gesamt auswerten und herausbekommen welche Member dieser Gruppe zugeordnet sind. Sprich unser Einsprungpunkt sind nicht die User in verschiedenen OU's, wo man prüft, ist MemberOf, sondern der Einsprungpunkt wären die Gesamtgruppen. Ich hoffe ich habs halbwegs verständlich erklärt. Da ich nicht wirklich AD-fit bin meine Frage an Euch. Danke vorab hg blasco99 Zitieren Link zu diesem Kommentar
Molle 0 Geschrieben 22. August 2014 Melden Teilen Geschrieben 22. August 2014 Du möchtest die Member der Gruppen "Gruppe98_Gesamt" und/oder "Gruppe99_Gesamt" herausfinden, richtig? Per Powershell ginge das ganz einfach per "Get-ADGroupMember -Identity Gruppe98_Gesamt" beispielsweise... Ansonsten gibt es noch so schöne kleine Tools, die dir helfen deine AD auszuwerten zb: http://www.faq-o-matic.net/jose/ Grüße Zitieren Link zu diesem Kommentar
blasco99 0 Geschrieben 22. August 2014 Autor Melden Teilen Geschrieben 22. August 2014 Hi, vielen Dank für Deine Antwort. Leider muss ich das irgendwie über typische LDAP SearchFilter herausbekommen. Sowas wie in diese Richtung (&(objectCategory=person)(objectClass=user)(!cn=andy)) Die Anfrage macht eine externe Anwendung, die LDAP-Anfragen über o.g. Filter tätigt. Zitieren Link zu diesem Kommentar
daabm 1.348 Geschrieben 22. August 2014 Melden Teilen Geschrieben 22. August 2014 LDAP-Filter sind nicht rekursiv, das wirst Du Deiner Anwendung also irgendwie beibringen müssen... Zitieren Link zu diesem Kommentar
P.Foeckeler 11 Geschrieben 9. September 2014 Melden Teilen Geschrieben 9. September 2014 Doch, LDAP-Filter gibt es auch Rekursiv, jedenfalls was die Attribute member + memberOf angeht. Man muss allerdings im LDAP-Filter einen seltsamen Modifier verwenden: :1.2.840.113556.1.4.1941: (LDAP_MATCHING_RULE_IN_CHAIN) Der Filter muss dann so aussehen: (memberOf:1.2.840.113556.1.4.1941:=CN=Gruppe98_Gesamt,OU=Gruppen,OU=Gesamt) oder eben für zwei Gruppen: (|(memberOf:1.2.840.113556.1.4.1941:=CN=Gruppe98_Gesamt,OU=Gruppen,OU=Gesamt)(memberOf:1.2.840.113556.1.4.1941:=CN=Gruppe99_Gesamt,OU=Gruppen,OU=Gesamt)) Diesen Filter sollte man allerdings nicht intensiv verwenden, denn er erzeugt eine relativ hohe Last am Domänencontroller. Auch kann ich Dir nicht genau sagen, wie das dann ist mit Domäne-übergreifenden Mitgliedschaften, ob er die auch rausfindet damit. Müßte man mal ausprobieren :) Gruß, Philipp 1 Zitieren Link zu diesem Kommentar
daabm 1.348 Geschrieben 9. September 2014 Melden Teilen Geschrieben 9. September 2014 Stimmt - vergessen/übersehen/was weiß ich ;-) http://msdn.microsoft.com/library/aa746475.aspx Zitieren Link zu diesem Kommentar
blasco99 0 Geschrieben 11. September 2014 Autor Melden Teilen Geschrieben 11. September 2014 Hey cool, das probier ich mal aus vielen dank Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.