Filtro de directorio activo para colocar a todos los usuarios en varias ubicaciones de AD sin utilizar grupos

tag-icon tag-icon active-directory ldap
Filtro de directorio activo para colocar a todos los usuarios en varias ubicaciones de AD sin utilizar grupos

Debo usar AD para autorizar algunas herramientas en línea para facilitar el desarrollo de software en tres países en una gran empresa internacional.

La sección de herramientas AD/LDAP tiene una línea para especificar un DN BASE y otra línea para aplicar un filtro de usuario.

El filtro de usuario predeterminado es: (&(objectCategory=Person)(sAMAccountName=*))

Las personas a las que necesito comunicarme se encuentran en estas ubicaciones de AD:

  1. MyCompany.com/AAA/EMA/RS/Aarhus/Accounts
  2. MyCompany.com/BBB/AMR/RS/Atlanta/Accounts
  3. MiCompañía.com/CCC/AP/COR/Xian/Accounts

Cada una de las entradas de la Cuenta contiene de 4 a 5 capas más profundas y necesito a todas esas personas.

Si simplemente configuro el DN BASE comoDC=Mi Empresa,DC=com(que es lo que creo que debería ser) Tengo más de 250000 usuarios devueltos, de los cuales sólo unos 2000 deberían tener acceso. :-( Mis herramientas almacenan en caché las entradas y la sincronización lleva bastante tiempo. :-(

Me gustaría utilizar un filtro más específico para orientar las ubicaciones de manera más específica.

Probé todo tipo de cosas, busqué por todas partes y también pregunté a los desarrolladores de herramientas y a nuestro departamento de TI cómo hacer esto, pero no encontré nada que se pudiera utilizar de forma remota.

Creo que el filtro debería ser algo parecido a lo siguiente, excepto que ahora conozco la verificación de miembro de la membresía de un grupo, no una ubicación de jerarquía en el AD.

(&(objectCategory=Person)(sAMAccountName=*)
  (|
    (memberOf:=OU=Accounts,OU=Aarhus,OU=RS,OU=EMA,OU=AAA,DC=MyCompany,DC=com)
    (memberOf:=OU=Accounts,OU=Atlanta,OU=RS,OU=AMR,OU=BBB,DC=MyCompany,DC=com)
    (memberOf:=OU=Accounts,OU=Xian,OU=COR,OU=AP,OU=CCC,DC=MyCompany,DC=com)
  )
)

Y solo para aclarar, no me es posible crear (y mantener actualizado) un grupo de todas las personas y sububicaciones que deberían tener acceso.

Espero ansiosamente tus sugerencias...

Nota: Esta es mi primera exposición a AD/LDAP, por lo que probablemente pasé por alto algo en esta explicación; intente completar los espacios en blanco. Gracias.

información relacionada