Quais permissões são necessárias para enumerar grupos de usuários no Active Directory

19

Eu tenho um aplicativo da web .net que precisa obter os grupos dos quais um usuário é membro do Active Directory.

Todo isso eu estou usando o atributo memberOf nos registros de usuários.

Eu preciso conhecer as permissões necessárias para ler este atributo em todos os registros de usuários.

Atualmente, estou obtendo resultados inconsistentes ao tentar ler este atributo. Por exemplo, eu tenho um grupo de 30 usuários no mesmo caminho da OU. Usando minhas próprias credenciais para consultar o AD - posso ler o atributo memberOf para alguns usuários, mas não para outros. Eu sei que todos os usuários têm um atributo memberOf definido como eu verifiquei quando fiz logon com uma conta de administrador de domínio.

Adam Jenkin
fonte

Respostas:

26

No objeto do seu domínio, você precisa atribuir ao usuário consultante o direito "Ler MembroOf" aos objetos Usuário.

  • Abra o AD U&C e navegue até seu objeto de domínio
  • Clique com o botão direito e vá para propriedades:

    domínio adu-nc

  • Guia Segurança, clique em Avançado
  • Clique em Adicionar
  • Digite o nome de usuário para adicionar
  • Clique na guia Propriedades
  • Em 'Aplicar a', altere o tipo para Usuário
  • Clique na caixa de seleção "Read MemberOf":

    ldap-read-member-of

  • OK dali

Isso deve configurá-lo para que a conta especificada possa ler as associações ao grupo de todas as contas de Usuário no domínio.

sysadmin1138
fonte
2
Obrigado sysadmin - Ainda não consigo ver uma guia de segurança ao clicar em propriedades no meu domínio de teste (é um servidor 2003 vm - configurado por mim .. um desenvolvedor: P pode estar errado) .. aqui está uma imagem da tela de propriedades que vejo . tinypic.com/r/10p7cdy/4
Adam Jenkin
9
Ah, é isso. Vá para Exibir e selecione Recursos avançados. Aparecerá assim que for ligado. Eu sempre uso isso, então esqueço que ele está lá:}
sysadmin1138
FWIW, isso parece não se aplicar ao Windows Server 2012, onde a caixa de diálogo Adicionar é bem diferente.
Chris Nelson
Para o benefício de qualquer usuário no Server 2008R2, essas instruções são igualmente aplicáveis, mas a guia de propriedades é um pouco diferente do que é descrito / ilustrado. A configuração é rotulada como "Aplicar a:" e o valor correto é "Objetos de usuário descendentes". Todas as outras instruções permanecem as mesmas.
jmbpiano
Muitas, muitas permissões ... sysadmin1138.net/images/ldap-read-member-of.png
Kiquenet: