Izin apa yang diperlukan untuk menghitung grup pengguna di Direktori Aktif

19

Saya memiliki aplikasi web .net yang perlu mendapatkan grup pengguna adalah anggota di Active Directory.

Sekarang ini saya menggunakan atribut memberOf pada catatan pengguna.

Saya perlu mengetahui izin yang diperlukan untuk membaca atribut ini di semua catatan pengguna.

Saat ini saya mendapatkan hasil yang tidak konsisten ketika mencoba membaca atribut ini. Misalnya saya memiliki grup pengguna 30 pengguna di jalur OU yang sama. Menggunakan kredensial saya sendiri untuk meminta AD - Saya bisa membaca atribut memberOf untuk beberapa pengguna tetapi tidak yang lain. Saya tahu semua pengguna memiliki atribut anggota, seperti yang saya periksa ketika masuk dengan akun admin domain.

Adam Jenkin
sumber

Jawaban:

26

Pada objek domain Anda, Anda harus menetapkan hak "Baca Anggota dari pengguna" ke objek Pengguna.

  • Buka AD U&C browse ke objek domain Anda
  • Klik kanan dan pergi ke properti:

    adu-nc-domain

  • Tab Keamanan, klik Tingkat Lanjut
  • Klik Tambah
  • Masukkan nama pengguna untuk ditambahkan
  • Klik tab Properties
  • Dalam 'Terapkan Ke', ubah tipe ke Pengguna
  • Klik kotak centang "Baca Anggota":

    ldap-baca-anggota-dari

  • OK keluar dari sana

Itu harus mengaturnya sehingga akun yang ditentukan dapat membaca keanggotaan grup semua akun Pengguna di domain.

sysadmin1138
sumber
2
Terima kasih sysadmin - Saya masih tidak dapat melihat tab keamanan saat mengklik properti pada domain pengujian saya (ini adalah server 2003 vm - yang dibuat oleh saya .. seorang pengembang: P jadi mungkin salah) .. inilah gambar layar properti yang saya lihat . tinypic.com/r/10p7cdy/4
Adam Jenkin
9
Ah, itu dia. Pergi ke Lihat dan pilih Fitur Lanjutan. Ini akan muncul begitu dihidupkan. Saya selalu menggunakannya, jadi saya lupa itu ada di sana:}
sysadmin1138
FWIW, ini sepertinya tidak berlaku untuk Windows Server 2012 di mana dialog Tambah sangat berbeda.
Chris Nelson
Untuk kepentingan setiap pengguna di Server 2008R2, instruksi ini sama-sama berlaku, tetapi tab properti sedikit berbeda dari apa yang dijelaskan / digambarkan. Pengaturan ini berlabel "Terapkan ke:" dan nilai yang benar adalah "Objek Pengguna Turun". Semua instruksi lain tetap sama.
jmbpiano
Banyak, banyak izin ... sysadmin1138.net/images/ldap-read-member-of.png
Kiquenet