web-dev-qa-db-fra.com

Quelles autorisations sont nécessaires pour énumérer les groupes d'utilisateurs dans Active Directory

J'ai une application Web .net qui doit obtenir les groupes dont un utilisateur est membre dans Active Directory.

Pour ce faire, j'utilise l'attribut memberOf sur les enregistrements des utilisateurs.

J'ai besoin de connaître les autorisations requises pour lire cet attribut sur tous les enregistrements d'utilisateurs.

Actuellement, j'obtiens des résultats incohérents en essayant de lire cet attribut. Par exemple, j'ai un groupe d'utilisateurs de 30 utilisateurs dans le même chemin OU. Utilisation de mes propres informations d'identification pour interroger AD - Je peux lire l'attribut memberOf pour certains utilisateurs mais pas pour d'autres. Je sais que tous les utilisateurs ont un attribut memberOf défini comme je l'ai vérifié lors de la connexion avec un compte d'administrateur de domaine.

19
Adam Jenkin

Sur votre objet de domaine, vous devez attribuer à l'utilisateur demandeur le droit "Lire MemberOf" aux objets utilisateur.

  • Ouvrez AD U&C, accédez à votre objet de domaine
  • Faites un clic droit et accédez aux propriétés:

    adu-n-c-domain

  • Onglet Sécurité, cliquez sur Avancé
  • Cliquez sur Ajouter
  • Entrez le nom d'utilisateur à ajouter
  • Cliquez sur l'onglet Propriétés
  • Dans 'Appliquer sur', changez le type en Utilisateur
  • Cochez la case "Lire MemberOf":

    ldap-read-member-of

  • OK hors de là

Cela doit le configurer pour que le compte spécifié puisse lire les appartenances aux groupes de tous les comptes d'utilisateurs du domaine.

26
sysadmin1138