LDAP查询 - 查找仅属于“域用户”组的用户

时间:2016-02-24 19:56:42

标签: active-directory ldap

我是AD和LDAP新手,我正在尝试查找仅属于默认“域用户”组的用户列表,而不是其他用户。

谢谢!

3 个答案:

答案 0 :(得分:0)

看起来答案是here

(及(及(primaryGroupID = 513)))

显然,主要群体并不像所有其他群体那样透露。要检查它,您必须搜索他们的主要组。我试过了,很多用户都回来了。

GET-ADUSER -Filter * - 属性名称,MemberOf |选择对象名称,@ {n ='GroupCount'; e = {($ .memberof).count}} | Where-Object {$ .GroupCount -lt 1}

答案 1 :(得分:0)

我用过:

(!(memberOf=*))

返回了预期的结果。

答案 2 :(得分:0)

大多数方法都没有透露" primary"组。对于大多数用户来说,"主要"小组应该是"域用户"。具体来说,用户对象的memberOf属性和组对象的成员属性从不显示" primary"团体会员。在大多数域中,"域用户"的成员属性。 group为空,可以安全地假设所有用户都属于该组。

如果您需要查询所有拥有"域用户"指定为" primary",搜索其primaryGroupID属性为513的所有用户。该组的primaryGroupToken属性" Domain Users"是相同的整数,513。LDAP语法过滤器可以是:

(primaryGroupID=513)

或者,找到"域用户"的所有直接成员,以及将此群组指定为"主要"的所有用户:

(|(memberOf=cn=Domain Users,cn=Users,dc=MyDomain,dc=com)(primaryGroupID=513))

要查找将其他组指定为" primary"的所有用户,过滤器可以是:

(&(objectCategory=person)(objectClass=user)(!primaryGroupID=513))

Richard Mueller - MVP Directory Services