Quelles autorisations sont nécessaires pour énumérer les groupes d'utilisateurs dans Active Directory

19

J'ai une application Web .net qui doit obtenir les groupes dont un utilisateur est membre dans Active Directory.

Pour ce faire, j'utilise l'attribut memberOf sur les enregistrements des utilisateurs.

J'ai besoin de connaître les autorisations requises pour lire cet attribut sur tous les enregistrements d'utilisateurs.

Actuellement, j'obtiens des résultats incohérents en essayant de lire cet attribut. Par exemple, j'ai un groupe d'utilisateurs de 30 utilisateurs dans le même chemin OU. Utilisation de mes propres informations d'identification pour interroger AD - Je peux lire l'attribut memberOf pour certains utilisateurs mais pas pour d'autres. Je sais que tous les utilisateurs ont un attribut memberOf défini comme je l'ai vérifié lors de la connexion avec un compte d'administrateur de domaine.

Adam Jenkin
la source

Réponses:

26

Sur votre objet de domaine, vous devez attribuer à l'utilisateur demandeur le droit "Lire MemberOf" aux objets utilisateur.

  • Ouvrez AD U&C, accédez à votre objet de domaine
  • Faites un clic droit et accédez aux propriétés:

    adu-nc-domain

  • Onglet Sécurité, cliquez sur Avancé
  • Cliquez sur Ajouter
  • Entrez le nom d'utilisateur à ajouter
  • Cliquez sur l'onglet Propriétés
  • Dans 'Appliquer sur', changez le type en Utilisateur
  • Cochez la case "Lire MemberOf":

    ldap-read-member-of

  • OK hors de là

Cela doit le configurer pour que le compte spécifié puisse lire les appartenances aux groupes de tous les comptes d'utilisateurs du domaine.

sysadmin1138
la source
2
Merci sysadmin - Je ne peux toujours pas voir un onglet de sécurité lorsque je clique sur les propriétés de mon domaine de test (c'est un serveur 2003 vm - mis en place par moi .. un développeur: P pourrait donc se tromper) .. voici une photo de l'écran des propriétés que je vois . tinypic.com/r/10p7cdy/4
Adam Jenkin
9
Ah, c'est ça. Accédez à Afficher et sélectionnez Fonctionnalités avancées. Il apparaîtra une fois allumé. J'ai toujours ça dessus donc j'oublie que c'est là:}
sysadmin1138
FWIW, cela ne semble pas s'appliquer à Windows Server 2012 où la boîte de dialogue Ajouter est assez différente.
Chris Nelson
Pour le bénéfice de tous les utilisateurs du serveur 2008R2, ces instructions sont également applicables, mais l'onglet des propriétés est légèrement différent de ce qui est décrit / illustré. Le paramètre est intitulé "Appliquer à:" et la valeur correcte est "Objets utilisateur descendants". Toutes les autres instructions restent les mêmes.
jmbpiano
Beaucoup, beaucoup d'autorisations ... sysadmin1138.net/images/ldap-read-member-of.png
Kiquenet