Je utilise ldapsearch sur une boîte Debian 9 Linux pour interroger un MS Active Directory. Je voudrais interroger/trouver tous les utilisateurs dans mon groupe "nomdemongroupe". La commande
ldapsearch -o ldif-wrap=no -xWLLL -D "moncompte" -h mondomaine -b "ou=utilisateur,dc=mondc,dc=com" "cn=nomdemongroupe" membrea la sortie suivante:
dn: CN=nomdemongroupe,OU=utilisateur,DC=mondc,DC=com
membre: CN=Paula Normal,OU=nimportequoi,OU=...,OU=...,OU=...,DC=mondc,DC=com
membre:: Q049QmV0dGluYSBUw7Zs...................9nbmUsT1U9RGV1dHNjwdGEsREM9Y29t
membre: CN=Peter Testman,OU=nimportequoi2,OU=...,OU=...,OU=...,DC=mondc,DC=com
...J'ai comparé la sortie avec l'interface graphique AD. La deuxième entrée devrait être un autre utilisateur valide, mais la sortie est inattendue et illisible. Les informations CN,OU,DC manquent. J'ai découvert que les entrées étranges sont valides, mais sont codées en base64.
Où est la faute? Y a-t-il une corruption dans l'AD? Ma commande de requête est-elle incorrecte? Pourquoi certaines entrées sont-elles codées en base64? Comment obtenir la bonne sortie?
1 votes
Pourrait être un membre hérité. Essayez de comparer la sortie de
repadmin /showobmeta DCNAME "DNOfGroup"0 votes
Avec repadmin /showobjmeta localhost "cn=mygroupname,ou....." Je vois des entrées avec legacy, "présente" et avec "non présente" marquée. (showobjmeta not showobmeta). Cependant je ne peux pas encore vous suivre. Qu'est-ce que cela signifie?
0 votes
Est-ce que le membre illisible est un membre hérité? Hérité signifie qu'il était membre avant Windows Server 2003 lorsque la réplication de valeurs liées a été introduite. Enlever / réajouter le membre le convertit d'un membre hérité à un membre normal.
1 votes
BTW: Vous devriez éditer votre question et supprimer la valeur encodée en base64, que vous appelez une entrée de membre étrange, car cela viole la vie privée.