Мне нужно использовать AD для авторизации некоторых онлайн-инструментов, чтобы упростить разработку программного обеспечения в трех странах в большой международной компании.
В разделе инструментов AD / LDAP есть одна строка для указания BASE DN и другая строка для применения пользовательского фильтра.
Пользовательский фильтр по умолчанию: (& (objectCategory = Person) (sAMAccountName = *))
Люди, с которыми мне нужно связаться, находятся в следующих местах AD:
Каждая запись в Учетной записи содержит 4-5 более глубоких слоев, и мне нужны все эти люди.
Если я просто установлю BASE DN как DC = MyCompany, DC = com (что, как я считаю, должно быть). У меня вернулось более 250000 пользователей, из которых только около 2000 должны иметь доступ. :-( Мои инструменты кэшируют записи, и синхронизация занимает довольно много времени. :-(
Я хотел бы использовать более конкретный фильтр для более точного нацеливания на местоположения.
Я перепробовал все, что угодно, поискал по всем пунктам, а также спросил разработчиков инструментов и наш ИТ-отдел о том, как это сделать, но не нашел ничего, что можно было бы использовать удаленно.
Я считаю, что фильтр должен быть чем-то вроде следующего, за исключением того, что теперь я знаю, что memberOf проверяет членство в группе, а не расположение иерархии в AD.
(&(objectCategory=Person)(sAMAccountName=*)
(|
(memberOf:=OU=Accounts,OU=Aarhus,OU=RS,OU=EMA,OU=AAA,DC=MyCompany,DC=com)
(memberOf:=OU=Accounts,OU=Atlanta,OU=RS,OU=AMR,OU=BBB,DC=MyCompany,DC=com)
(memberOf:=OU=Accounts,OU=Xian,OU=COR,OU=AP,OU=CCC,DC=MyCompany,DC=com)
)
)
И просто чтобы уточнить, я не могу создать (и постоянно обновлять) группу из всех людей и подразделений, которые должны иметь доступ.
С нетерпением жду ваших предложений ...
Примечание. Это мое первое знакомство с AD / LDAP, поэтому я, вероятно, что-то пропустил в этом объяснении - попробуйте заполнить пробелы. Спасибо.