完成LDAP查询以从Microsoft Active Directory中提取活动用户和服务帐户

Question

我将无法light在LDAP中看到;）...

这是用例：我正在尝试设置Jira来同步LDAP目录以进行登录，但是由于目录很大，因此我确实对如何进行查询非常敏感，以消除垃圾。

我需要用户帐户和服务帐户。

这里是要求（您可以随意提出更多建议）：

1. 帐户不应以_ #或` 开头
2. 应该是普通帐户（而不是机器，信任之类的帐户）
3. 它不应该是邮件列表
4. 它不应该是会议室

Answer 1

这是我有的部分解决方案，但仍然不完全满意。为了便于阅读，我将条件分开。

排序它们是为了提高查询速度：

(samAccountType=805306368)                         // user/person (optimum test)
(userAccountControl:1.2.840.113556.1.4.803:=512)   // normal account
(!(userAccountControl:1.2.840.113556.1.4.803:=32)) // allow only accounts with passwords        
(mail=*)                                           // with email
(uSNChanged=*)                                     // eliminates few invalid accounts
(!(sAMAccountName=_*))
(!(sAMAccountName=#*))
(!(sAMAccountName=$*))

编译查询：

(&(samAccountType=805306368)(!sAMAccountName=*)(userAccountControl:1.2.840.113556.1.4.803:=512)(!(userAccountControl:1.2.840.113556.1.4.803:=32))(mail=*)(uSNChanged=*)(!sAMAccountName=_*)(!sAMAccountName=#*)(!sAMAccountName=$*))