Фильтр LDAP для членов Группа

Первое, что я сделаю, это перепроверьте что DN группы, которую вы пытаетесь сопоставить, действительно правильный. Обычно я делаю что-то вроде этого:

(Get-ADGroup MyGroup).distinguishedName

# optionally, save it to a variable
$groupDN = (Get-ADGroup MyGroup).distinguishedName

Get-ADUser ограничит ваши результаты только пользовательскими объектами, поэтому вы можете не включать части objectclass / objectcategory фильтра LDAP и просто включать часть memberOf. Вы можете использовать переменную DN, которую мы установили ранее, следующим образом:

Get-ADUser -LDAPFilter "(memberOf=$groupDN)"

Важно отметить, что в этом конкретном запросе будут возвращаться только пользователи, которые являются прямыми членами группы. Он не вернет вложенные члены. Таким образом, если один из членов группы является другой группой, члены этой второй группы не будут отображаться в результатах без дополнительных усилий. Вы можете получить эти вложенные элементы, настроив фильтр следующим образом:

Get-ADUser -LDAPFilter "(memberOf:1.2.840.113556.1.4.1941:=$groupDN)"

Это сумасшедшее число с точками посередине - это OID с именем LDAP_MATCHING_RULE_IN_CHAIN ​​. Из документации:

LDAP_MATCHING_RULE_IN_CHAIN ​​- это OID правила сопоставления, который предназначен для предоставления метода для поиска происхождения объекта. Многие приложения, использующие AD и AD LDS, обычно работают с иерархическими данными, которые упорядочены отношениями родитель-потомок. Раньше приложения выполняли транзитивное расширение группы для определения членства в группе, которое использовало слишком большую пропускную способность сети; приложениям необходимо было совершить несколько обходов, чтобы выяснить, упал ли объект «в цепочку», если ссылка пройдена до конца.

Другая причина, по которой ваш запрос может не возвращать результаты, - это то, что пользователь, которого вы выполняете, поскольку по какой-то причине не имеет доступа на чтение для некоторых / всех пользователей.