LDAP запрашивают на Linux против AD групп возвратов без участников
Я взвешусь с ответом, но я повторю то, что было сказано в комментариях, также. Это - ужасная идея. У Вас есть проблема управления, не техническая проблема. В то время как я понимаю, что Ваши "боссы" просят, чтобы Вы решили их проблему для них, я утверждал бы, что необходимо позволить им знать, что нет технического решения этой проблемы.
Решение Microsoft для того, на что Вы смотрите, является политиками Ограничения программного обеспечения. Можно определить различные критерии для разрешения / запрещают выполнение программы.
Выполнение в его "позволяет все, режим" исключений блока (названный "Неограниченный режим" Microsoft) не поможет. Пользователи могут переименовать файлы или скопировать их с байтом мусора, добавленного в конце для отбрасывания криптографического хеша.
В "Режиме Disallowed", где только явно позволенным программам или путям разрешают работать, политика Ограничения программного обеспечения действительно имеет зубы. (С протестом, что, если у пользователей есть права "Администратора" затем, Ваши попытки остановки их будут беззубыми, неважно, как Вы настраиваете ее.) С пользователем неадминистратора и некоторые хорошо - определяют пути в "Режиме Disallowed" (пути, где пользователь не может записать файлы), можно сделать замечательное задание того, чтобы заставлять Windows XP препятствовать тому, чтобы несанкционированное программное обеспечение работало.
Очевидно, быть "отклоняет все, разрешает, чтобы явная" архитектура означала больше работы, настраивающей его, но "победа" - то, что это действительно может сохранить почти все нежелательное программное обеспечение от работы над компьютером (даже программное обеспечение, которое "живет" в папках, которые пользователь имеет права записать в - прием, который Google Chrome делает, например).
Я не могу подчеркнуть достаточно, что Вы пытаетесь решить проблему управления с техническими средствами. Это - рецепт для того, чтобы напрасно тратить время, тратя впустую усилие, и создавая больше проблем, чем Вы "решите". Если Вы не делаете что-то очень решительное как политики Ограничения программного обеспечения в режиме Disallowed (и разделите права Администратора пользователя), Вы действительно не доберетесь нигде. Если Вы действительно перейдете к таким решительным мерам, то Вы закончите тем, что провели значительно больше времени и денег, чем было бы потрачено, если управление просто "проявит мужество" (или "женщина", в зависимости от обстоятельств) и сделает их задание.
Это мог бы быть тот же случай, который я выполнил на не давным-давно. Если у Вашей AD группы есть слишком много участников, она вызвала такую ошибку в Linux (где-нибудь на getent уровне, или незадолго до нее - ldapsearch хорошо работал).
Более точно ошибка не об определенном числе членов, а скорее о количестве символов на "строку группы" (думайте строка от/etc/group), быть больше, чем 1 023 символа. Я не изучал, почему этот предел там и почему 1024. Я только что создал вторую группу и переместил чрезмерных участников туда.
This is actually a pretty easy thing to fix, you need to add the following to your ldap.conf:
nss_schema rfc2307bis
This tells it to enumerate groups with a DN instead of just their CN. Also note that you can use the RFC2307 native attributes now (gecos, uid etc) as long as you have a 2003R2 DC or newer.