Мы используем Microsoft Windows 2008 Server в качестве наших контроллеров домена и используем групповые политики для распределения доступа к сетевым ресурсам, программным пакетам и т.д. Распространение пакетов программного обеспечения осуществляется с помощью LANDesk Desktop Manager.

Задача заключается в следующем: у нас есть политика под названием "Свободное программное обеспечение Windows 7", к которой должны иметь доступ все пользователи. Для этого пользователям домена, к которым принадлежат все пользователи (естественно), был предоставлен доступ к политике "свободного программного обеспечения Windows 7". Это не работает.

Кажется, я помню, что существует известная проблема с реализацией Microsoft LDAP, из-за которой разрешения, предоставленные пользователям домена, не распространяются должным образом, и я спрашивал себя, есть ли у кого-нибудь дополнительная информация по этому вопросу до того, как я зарегистрирую запрос на изменение?

|источник

1 ответ1

0

Я не нашел твердого подтверждения этому, кроме как наблюдать за собой.

Решение состоит в том, чтобы избежать использования пользователей домена для назначения разрешений, используя вместо этого другое подразделение контейнера.

Обновление 22/08/17:

Я нашел независимое подтверждение поведения, заявив, что:

Большинство методов не раскрывают членство в "первичной" группе. Для большинства пользователей "основной" группой должны быть "Пользователи домена". В частности, атрибут memberOf пользовательских объектов и атрибут member объектов группы никогда не раскрывают "первичное" членство в группе. В большинстве доменов атрибут члена группы "Пользователи домена" пуст, и можно с уверенностью предположить, что все пользователи принадлежат этой группе. Если вам нужно выполнить запрос для всех пользователей, для которых "Пользователи домена" определены как "первичные", выполните поиск всех пользователей, у которых атрибут primaryGroupID равен 513. Атрибут primaryGroupToken группы "Пользователи домена" - это то же целое число, 513. Синтаксический фильтр LDAP может быть:(primaryGroupID = 513) Или найти всех прямых членов "пользователей домена", а также всех пользователей, для которых эта группа обозначена как "первичная":(|(memberOf = cn = пользователи домена, cn = Users, dc = MyDomain, dc = com)(primaryGroupID = 513)) Чтобы найти всех пользователей, у которых в качестве "основного" назначена какая-то другая группа, фильтр может быть:(&(objectCategory = person)(objectClass = user)(!primaryGroupID = 513))

Источник здесь: https://social.technet.microsoft.com/Forums/windowsserver/en-US/373febac-665c-494d-91f7-834541c74bee/cant-get-all-member-objects-from-domain-users-in -ldap? форум = winserverDS

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .