Quelles autorisations sont nécessaires pour énumérer les groupes d'utilisateurs dans Active Directory


19

J'ai une application Web .net qui doit obtenir les groupes dont un utilisateur est membre dans Active Directory.

Pour ce faire, j'utilise l'attribut memberOf sur les enregistrements des utilisateurs.

J'ai besoin de connaître les autorisations requises pour lire cet attribut sur tous les enregistrements d'utilisateurs.

Actuellement, j'obtiens des résultats incohérents en essayant de lire cet attribut. Par exemple, j'ai un groupe d'utilisateurs de 30 utilisateurs dans le même chemin OU. Utilisation de mes propres informations d'identification pour interroger AD - Je peux lire l'attribut memberOf pour certains utilisateurs mais pas pour d'autres. Je sais que tous les utilisateurs ont un attribut memberOf défini comme je l'ai vérifié lors de la connexion avec un compte d'administrateur de domaine.

Réponses:


26

Sur votre objet de domaine, vous devez attribuer à l'utilisateur demandeur le droit "Lire MemberOf" aux objets utilisateur.

  • Ouvrez AD U&C, accédez à votre objet de domaine
  • Faites un clic droit et accédez aux propriétés:

    adu-nc-domain

  • Onglet Sécurité, cliquez sur Avancé
  • Cliquez sur Ajouter
  • Entrez le nom d'utilisateur à ajouter
  • Cliquez sur l'onglet Propriétés
  • Dans 'Appliquer sur', changez le type en Utilisateur
  • Cochez la case "Lire MemberOf":

    ldap-read-member-of

  • OK hors de là

Cela doit le configurer pour que le compte spécifié puisse lire les appartenances aux groupes de tous les comptes d'utilisateurs du domaine.


2
Merci sysadmin - Je ne peux toujours pas voir un onglet de sécurité lorsque je clique sur les propriétés de mon domaine de test (c'est un serveur 2003 vm - mis en place par moi .. un développeur: P pourrait donc se tromper) .. voici une photo de l'écran des propriétés que je vois . tinypic.com/r/10p7cdy/4
Adam Jenkin

9
Ah, c'est ça. Accédez à Afficher et sélectionnez Fonctionnalités avancées. Il apparaîtra une fois allumé. J'ai toujours ça dessus donc j'oublie que c'est là:}
sysadmin1138

FWIW, cela ne semble pas s'appliquer à Windows Server 2012 où la boîte de dialogue Ajouter est assez différente.
Chris Nelson

Pour le bénéfice de tous les utilisateurs du serveur 2008R2, ces instructions sont également applicables, mais l'onglet des propriétés est légèrement différent de ce qui est décrit / illustré. Le paramètre est intitulé "Appliquer à:" et la valeur correcte est "Objets utilisateur descendants". Toutes les autres instructions restent les mêmes.
jmbpiano

Beaucoup, beaucoup d'autorisations ... sysadmin1138.net/images/ldap-read-member-of.png
Kiquenet
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.