Disons que j'ai une configuration de forêt avec de nombreux domaines. Si je choisis un groupe de sécurité arbitraire dans l'un des domaines, quelle est la meilleure façon de trouver TOUS les utilisateurs membres de ce groupe, y compris les utilisateurs membres des groupes imbriqués ? Je veux être en mesure de le faire quel que soit le type de groupe (c'est-à-dire universel, global ou local au domaine). Si j'ai bien compris, nous ne pouvons pas utiliser le catalogue global seul, car les membres des groupes n'y sont pas répliqués pour tous les types de groupes.
Nous finirons par faire cela avec du code, mais pour l'instant je veux juste comprendre le processus. Pour simplifier, disons que je connais déjà le nom du groupe. objetGUID valeur. Les étapes de haut niveau seraient-elles :
-
Interrogez n'importe quel catalogue global de la forêt pour le groupe (via la commande objetGUID ) et récupère le domaine dans lequel le groupe est défini via sa fonction
catégorie d'objet attributnom distingué -
Interroger le contrôleur de domaine dans lequel le groupe est défini (récupéré à l'étape 1) en utilisant l'identifiant du groupe objetGUID y memberOf:1.2.840.113556.1.4.1941 comme le filtre
Y a-t-il autre chose ? Existe-t-il des cas limites où je devrais interroger d'autres contrôleurs de domaine (par exemple, d'autres sous-domaines) ? Existe-t-il d'autres cas où je n'aurais pas à aller plus loin que le catalogue global parce que le type de groupe (ou un autre attribut) garantit que toutes les informations sur ses membres sont répliquées dans le catalogue global ?
EDIT
- Changer objectCategory en nom distingué
