none
2008r2域,使用域控进行ldap认证问题 RRS feed

  • 问题

  • 1/普通domain users 作为ldap认证账户,可以搜索到整个活动目录域?

    2/什么权限的ad账户作为认证账户可以通过ldap对域进行删除添加用户(ou)等操作?

    2019年1月22日 1:44

答案

  • 您好,

    从目前的信息来看,没有找到可以让三方工具只LDAP search某个OU的设置,我们即使登陆一般用户然后用自带的LDP.exe 做查询,也能搜索到整个域的信息。

    感谢您的理解和支持。

    Best regards,

    Kallen


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    • 已标记为答案 nelson2004 2019年2月13日 6:16
    2019年2月12日 1:46
    版主

全部回复

  • 您好,

    感谢您的发帖。

    1.请问您说的搜索到整个AD域具体指的是什么呢?有没有什么详细的要求说明?

    2.根据我的理解,需要的权限有:创建删除用户对象、组对象和组织单位的权限。

    希望以上信息有所帮助。

    Best regards,

    Kallen


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2019年1月22日 6:58
    版主
  • 你好,我的疑问

    1.请问您说的搜索到整个AD域具体指的是什么呢?有没有什么详细的要求说明?

    我是指我的ad域。dc=test,dc=com,是否可以控制某个ad用户作为ldap认证账户的时候,search base 只限定到 ou=testuser,dc=test,dc=com层级?而不是整个dc=test,dc=com

    2.根据我的理解,需要的权限有:创建删除用户对象、组对象和组织单位的权限。

    ad中是否有针对ldap的权限配置?还是仅使用ad权限

    3/域控中ldap端口389是否可以更改?如何更改?更改是否只影响单台域控?

    4/只读域控是否可以作为ldap认证服务器?



    2019年1月23日 1:45
  • 您好,

    1.我们可以使用power shell命令完成在OU中进行LDAP search

    请参考以下链接:https://social.technet.microsoft.com/Forums/en-US/964ab700-25f9-4a4d-9611-1e015a0d7712/ldap-search-all-users-within-an-ou?forum=winserverDS

    2.根据我的理解,这个权限就是域的权限,就是您所说的AD权限。

    3。是可以更改的。但是不建议您进行这个更改。

    请您参考以下链接:https://social.technet.microsoft.com/Forums/ie/en-US/e44f22f5-64fd-4269-b053-1adecb4cd573/how-can-i-change-default-port-of-active-directory-in-windows-2008?forum=winserverDS

    4.只读域控可以作为LDAP认证服务器。

    希望以上信息有所帮助。

    Best regards,

    Kallen


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    • 已标记为答案 nelson2004 2019年1月25日 7:37
    • 取消答案标记 nelson2004 2019年1月25日 7:37
    2019年1月24日 8:50
    版主
  • 您好

    1.请问您说的搜索到整个AD域具体指的是什么呢?有没有什么详细的要求说明?

    我是指我的ad域。dc=test,dc=com,是否可以控制某个ad用户作为ldap认证账户的时候,search base 只限定到 ou=testuser,dc=test,dc=com层级?而不是整个dc=test,dc=com

    我的需求不是使用powershell搜索ldap,只是希望限定ldap搜索范围在某个ou,外部第三方系统使用ldap认证,只允许该系统访问特定OU,而不是整个域

    2019年1月25日 7:46
  • 你好,

    这是一个通知,让您知道我目前正在对此问题进行研究,并会尽快回复您。

    感谢您的耐心等待。

    如果您在此过程中有任何更新,请随时告诉我们。

    感谢您的理解和支持。

    Best Regards,

    Kallen


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2019年2月1日 9:54
    版主
  • 您好,

    从目前的信息来看,没有找到可以让三方工具只LDAP search某个OU的设置,我们即使登陆一般用户然后用自带的LDP.exe 做查询,也能搜索到整个域的信息。

    感谢您的理解和支持。

    Best regards,

    Kallen


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    • 已标记为答案 nelson2004 2019年2月13日 6:16
    2019年2月12日 1:46
    版主
  • 十分感谢
    2019年2月13日 6:16