Я пытаюсь получить список членов группы в Active Directory. Я использую запросы LDAP, но думаю, что это не актуально. Я обнаружил несоответствие в информации о членстве в группах Active Directory:
Группа безопасности G был создан с глобальной областью. Просмотр GСвойства, использующие оснастку MMC для пользователей и компьютеров AD, отображаются три пользователи, A B C на вкладке Участники.
Однако при просмотре свойств пользователя A B и C, только A и B иметь G перечисленные на вкладке "Член" - G является не присутствует на вкладке "Член" пользователя C.
Как может быть, что пользователь находится в списке участников группы, но эта группа не в списке "Член" этого пользователя?
(обратите внимание, что группа G является не основная группа любого пользователя)
(Сначала я думал, что это проблема с запросом LDAP, но это не так: запросы точно передают информацию в Active Directory, и это непоследовательно)
При запросе группы, содержащей записи из нескольких доменов AD (глобальные или универсальные группы), может возникнуть проблема с получением полных результатов. Есть еще по теме Вот
(Примечание: на связанной странице я вижу шрифты wingding в середине сообщения от Че. Здесь они преобразованы в настоящий шрифт:
- На DC для домена, который содержит пользователя, memberOf для пользователя является полным в отношении членства в группе в этом домене; однако memberOf не содержит сведений о членстве пользователя в локальных и глобальных группах домена в других доменах.
- На сервере GC memberOf для пользователя является полным в отношении членства в универсальных группах.
)