Active Directory-Filter zum Abrufen aller Benutzer an mehreren AD-Standorten ohne Verwendung von Gruppen

tag-icon tag-icon active-directory ldap
Active Directory-Filter zum Abrufen aller Benutzer an mehreren AD-Standorten ohne Verwendung von Gruppen

Ich muss AD zur Autorisierung einiger Online-Tools verwenden, um die Softwareentwicklung in drei Ländern eines großen internationalen Unternehmens zu vereinfachen.

Der AD/LDAP-Abschnitt des Tools enthält eine Zeile zum Angeben eines BASE-DN und eine weitere Zeile zum Anwenden eines Benutzerfilters.

Der Standardbenutzerfilter ist: (&(objectCategory=Person)(sAMAccountName=*))

Die Personen, die ich erreichen muss, befinden sich an diesen AD-Standorten:

  1. MyCompany.com/AAA/EMA/RS/Aarhus/Konten
  2. MyCompany.com/BBB/AMR/RS/Atlanta/Konten
  3. MyCompany.com/CCC/AP/COR/Xian/Konten

Jeder der Kontoeinträge enthält 4–5 tiefere Ebenen, und ich brauche alle diese Leute.

Wenn ich nur den BASE DN einstelle alsDC=MeineFirma,DC=com(was meiner Meinung nach der Fall sein sollte) Mir wurden mehr als 250.000 Benutzer zurückgegeben, von denen nur etwa 2.000 Zugriff haben sollten. :-( Meine Tools speichern die Einträge im Cache und die Synchronisierung dauert ziemlich lange. :-(

Ich möchte einen spezifischeren Filter verwenden, um die Standorte gezielter anzusprechen.

Ich habe alles Mögliche probiert, überall gesucht und auch die Tool-Entwickler sowie unsere IT-Abteilung gefragt, wie das geht, aber nichts auch nur annähernd Brauchbares gefunden.

Ich glaube, der Filter sollte ungefähr wie folgt aussehen - außer dass ich jetzt weiß, dass die MemberOf-Prüfung die Mitgliedschaft in einer Gruppe und nicht einen hierarchischen Standort im AD betrifft

(&(objectCategory=Person)(sAMAccountName=*)
  (|
    (memberOf:=OU=Accounts,OU=Aarhus,OU=RS,OU=EMA,OU=AAA,DC=MyCompany,DC=com)
    (memberOf:=OU=Accounts,OU=Atlanta,OU=RS,OU=AMR,OU=BBB,DC=MyCompany,DC=com)
    (memberOf:=OU=Accounts,OU=Xian,OU=COR,OU=AP,OU=CCC,DC=MyCompany,DC=com)
  )
)

Und nur um das klarzustellen: Es ist mir nicht möglich, eine Gruppe aller Personen und Unterstandorte zu erstellen (und auf dem neuesten Stand zu halten), die Zugriff haben sollten.

Ich bin gespannt auf eure Vorschläge...

Hinweis: Dies ist mein erster Kontakt mit AD/LDAP, daher habe ich in dieser Erklärung wahrscheinlich etwas übersehen – versuchen Sie bitte, die Lücken zu füllen. Danke.

verwandte Informationen