Active Directory에서 사용자 그룹을 열거하는 데 필요한 권한


19

Active Directory에서 사용자가 속한 그룹을 가져와야하는 .net 웹 응용 프로그램이 있습니다.

이를 위해 사용자 레코드에서 memberOf 속성을 사용하고 있습니다.

모든 사용자 레코드에서이 속성을 읽는 데 필요한 권한을 알아야합니다.

현재이 속성을 읽으려고 할 때 일관성없는 결과가 나타납니다. 예를 들어 동일한 OU 경로에 30 명의 사용자 그룹이 있습니다. 내 자신의 자격 증명을 사용하여 AD를 쿼리-일부 사용자의 memberOf 속성을 읽을 수 있지만 다른 사용자는 읽을 수 없습니다. 도메인 관리자 계정으로 로그온 할 때 확인한대로 모든 사용자에게 memberOf 속성이 설정되어 있음을 알고 있습니다.

답변:


26

도메인 개체에서 쿼리하는 사용자에게 "Read MemberOf"권한을 사용자 개체에 할당해야합니다.

  • AD U & C를 열고 도메인 개체를 찾습니다.
  • 마우스 오른쪽 버튼을 클릭하고 속성으로 이동하십시오.

    adu-nc- 도메인

  • 보안 탭에서 고급을 클릭하십시오.
  • 추가 클릭
  • 추가 할 사용자 이름을 입력하십시오
  • 속성 탭을 클릭하십시오
  • '다음에 적용'에서 유형을 사용자로 변경하십시오.
  • "Read MemberOf"체크 박스를 클릭하십시오 :

    ldap-read-member-of

  • 거기서 나가

지정된 계정이 도메인에있는 모든 사용자 계정의 그룹 구성원을 읽을 수 있도록 설정해야합니다.


2
감사합니다 sysadmin-테스트 도메인에서 속성을 클릭 할 때 여전히 보안 탭을 볼 수 없습니다 (서버 2003 vm-내가 설정했습니다. . tinypic.com/r/10p7cdy/4
Adam Jenkin

9
아, 그게 다야. 보기로 이동하여 고급 기능을 선택하십시오. 전원을 켜면 표시됩니다. } : 난 항상에에게 내가 있다는 걸 잊지 그래서이
sysadmin1138

그러나 추가 대화 상자가 상당히 다른 Windows Server 2012에는 적용되지 않는 것 같습니다.
크리스 넬슨

Server 2008R2 사용자의 이익을 위해이 지침은 동일하게 적용 할 수 있지만 속성 탭은 설명 / 그림과 약간 다릅니다. 설정은 "적용 대상 :"으로 표시되고 올바른 값은 "후속 사용자 개체"입니다. 다른 모든 지침은 동일하게 유지됩니다.
jmbpiano

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.