Какие разрешения необходимы для перечисления групп пользователей в Active Directory
У меня есть веб-приложение .net, которому необходимо получить группы, членом которых является пользователь, в Active Directory.
Для этого я использую атрибут memberOf в записях пользователей.
Мне нужно знать разрешения, необходимые для чтения этого атрибута во всех записях пользователей.
В настоящее время я получаю противоречивые результаты при попытке прочитать этот атрибут. Например, у меня есть группа пользователей из 30 пользователей на одном пути к OU. Используя свои собственные учетные данные для запроса AD - я могу читать атрибут memberOf для некоторых пользователей, но не для других. Я знаю, что у всех пользователей установлен атрибут memberOf, поскольку я проверял, входя в систему с учетной записью администратора домена.
В вашем доменном объекте вам необходимо назначить запрашивающему пользователю право «Read MemberOf» для объектов User.
- Откройте AD U&C, перейдите к объекту вашего домена
- Щелкните правой кнопкой мыши и перейдите к свойствам:
- На вкладке Безопасность нажмите Дополнительно
- Нажмите Добавить
- Введите имя пользователя для добавления
- Щелкните вкладку Свойства
- В «Применить к» измените тип на «Пользователь».
- Установите флажок «Читать MemberOf»:
- ОК оттуда
Это должно настроить его так, чтобы указанная учетная запись могла читать членство в группах всех учетных записей пользователей в домене.