Kir*_*ohn 13 active-directory ldap domain-controller
我正在使用 ADSI Edit 查看 AD 中单个用户帐户的 LDAP 属性。我看到了诸如 userPrincipalName 之类的属性,但我没有看到完全限定域名 (FQDN) 或 netbios 域名的属性。
我们将设置全局目录 (GC) 以提供对多个域的 LDAP 访问,并通过应用程序中的配置将 LDAP 属性映射到应用程序中的用户配置文件属性。对于典型的 AD,所有用户的 FQDN 和 netbios 域名都是相同的,但是由于涉及 GC,我们需要这些附加信息。我们真的只需要netbios域名(FQDN不够好)。
也许可以通过 LDAP 查询从 AD 中的更顶级对象请求此信息?
我想我想通了。使用 ADSI Edit 您可以查看对象(例如,用户)的属性,但默认情况下它会过滤掉“构造”属性。使用属性屏幕右下角的过滤器按钮,我能够显示这些附加属性。
“msDS-PrincipalName”的值似乎是“[netbios domain name]\[sAMAccountName]”。
如果我进入 AD 用户和计算机并将“用户登录名”从“gwasington@test.kirkdev.local”更改为“gwash2ington@test.kirk2dev.local”,这会影响“userPrincipalName”属性,但不会影响“msDS- PrincipalName”属性。这对我来说很好,因为我的另一个系统 (SharePoint) 也无法识别此更改。
如果我进入 AD 用户和计算机并将“用户登录名(Windows 2000 之前)”从“KIRKDEV\gwashington”更改为“KIRKDEV\g2washington”(注意,我不能更改第一部分),这不会影响“userPrincipalName”属性,但会影响“msDS-PrincipalName”属性。这正是我想要的,因为我的其他系统 (SharePoint) 确实识别了此更改。
旁注:我说过 SharePoint 确实可以识别更改,但前提是用户以前从未登录过该 SharePoint 网站集。用户登录到 SharePoint 网站集后,UserInfo 表中的 tp_Login 字段将设置为“msDS-PrincipalName”值,并且该值似乎没有更改。因此,我可能必须找到一种方法来强制更改它,或者只是说不支持这种情况。
您必须从dn(distinguishedName) 或AdsDSPath属性中解析它。域名实体在这些属性中带有前缀"DC="。最左边DC=将包含您的 netbios 域名。
例如:
cn=myuser,ou=users,dc=mydomain,dc=mycompany,dc=com
mydomain是netbios域名。
编辑:
正如 Brian Desmond 指出的那样,这不一定是查找实际 netbios 名称的权威方法,它们通常相互关联只是巧合。权威的方式请参见BoyMars的回答。
| 归档时间: |
|
| 查看次数: |
27405 次 |
| 最近记录: |