我需要使用 AD 來授權一些線上工具,以簡化一家大型國際公司跨三個國家的軟體開發。
工具 AD/LDAP 部分有一行用於指定 BASE DN,另一行用於套用使用者過濾器。
預設使用者篩選器為:(&(objectCategory=Person)(sAMAccountName=*))
我需要聯絡的人位於以下 AD 位置:
- MyCompany.com/AAA/EMA/RS/Aarhus/Accounts
- MyCompany.com/BBB/AMR/RS/Atlanta/Accounts
- MyCompany.com/CCC/AP/COR/Xian/Accounts
每個帳戶條目都包含 4-5 個更深的層,我需要所有這些人。
如果我只是將 BASE DN 設為DC=我的公司,DC=com(我認為應該是這樣)我返回了超過 250000 個用戶,其中只有大約 2000 個應該具有訪問權限。 :-( 我的工具快取條目,並且需要很長時間才能同步。:-(
我想使用更具體的濾鏡來更具體地定位目標位置。
我嘗試了各種方法,到處搜索,也詢問了工具開發人員和我們的 IT 部門如何做到這一點,但沒有找到任何可以遠端使用的東西。
我相信過濾器應該類似於以下內容 - 除非我現在知道 memberOf 檢查組的成員身份,而不是 AD 中的層次結構位置
(&(objectCategory=Person)(sAMAccountName=*)
(|
(memberOf:=OU=Accounts,OU=Aarhus,OU=RS,OU=EMA,OU=AAA,DC=MyCompany,DC=com)
(memberOf:=OU=Accounts,OU=Atlanta,OU=RS,OU=AMR,OU=BBB,DC=MyCompany,DC=com)
(memberOf:=OU=Accounts,OU=Xian,OU=COR,OU=AP,OU=CCC,DC=MyCompany,DC=com)
)
)
澄清一下,我不可能創建(並保持更新)一組應該有權訪問的所有人員和子位置。
我熱切地等待您的建議...
注意:這是我第一次接觸 AD/LDAP,所以我可能忽略了這個解釋中的一些內容 - 請嘗試填空。謝謝。