답변:
memberOf (AD에서)는 고유 이름 목록으로 저장됩니다. 필터는 다음과 같아야합니다.
(&(objectCategory=user)(memberOf=cn=MyCustomGroup,ou=ouOfGroup,dc=subdomain,dc=domain,dc=com))
식별 이름이 아직없는 경우 다음을 사용하여 검색 할 수 있습니다.
(&(objectCategory=group)(cn=myCustomGroup))
속성을 반환합니다 distinguishedName. 케이스가 중요 할 수 있습니다.
Active Directory 사용자의 경우이 작업을 수행하는 다른 방법은 모든 그룹이 저장되어 있다고 가정 OU=Groups,DC=CorpDir,DC=QA,DC=CorpName하여 쿼리를 사용하는 것 (&(objectCategory=group)(CN=GroupCN))입니다. 이는 회원이 1500 명 미만인 모든 그룹에 적합합니다. 대규모 AD 그룹의 모든 구성원을 나열하려면 동일한 쿼리가 작동하지만 범위 검색 을 사용 하여 한 번에 1500 개의 레코드를 모든 구성원을 가져와야합니다.
범위 검색을 수행하기위한 핵심은 다음 구문을 사용하여 속성에 범위를 지정하는 것입니다 : attribute; range = low-high . 따라서 3000 명의 구성원이있는 AD 그룹의 모든 구성원을 가져 오려면 먼저 member;range=0-1499특성이 반환되도록 요청하는 위 쿼리를 실행 한 다음 특성을 요청 member;range=1500-2999합니다.
(CN=GroupCN). 나는 모든 그룹을 요청하려고했지만 이것을 지정할 때까지 작동하지 않았습니다. 또한 범위를 지정할 때 별표를 사용할 수 있습니다 member;range=1500-*.-또한 잘 작동합니다.
DC가 Win2k3 SP2 이상이면 다음과 같이 사용할 수 있습니다.
(&(objectCategory=user)(memberOf:1.2.840.113556.1.4.1941:=CN=GroupOne,OU=Security Groups,OU=Groups,DC=example,DC=com))
중첩 된 그룹 멤버십을 가져옵니다.
출처 : https://ldapwiki.com/wiki/Active%20Directory%20Group%20Related%20Searches