Qué permisos se requieren para enumerar grupos de usuarios en Active Directory

19

Tengo una aplicación web .net que necesita obtener los grupos de los que un usuario es miembro en Active Directory.

Todo esto estoy usando el atributo memberOf en los registros de los usuarios.

Necesito saber los permisos necesarios para leer este atributo en todos los registros de usuarios.

Actualmente obtengo resultados inconsistentes cuando intento leer este atributo. Por ejemplo, tengo un grupo de usuarios de 30 usuarios en la misma ruta de OU. Utilizando mis propias credenciales para consultar AD: puedo leer el atributo memberOf para algunos usuarios pero no para otros. Sé que todos los usuarios tienen un atributo memberOf establecido como lo he verificado cuando inicié sesión con una cuenta de administrador de dominio.

Adam Jenkin
fuente

Respuestas:

26

En su objeto de dominio, debe asignar al usuario que realiza la consulta el derecho "Leer miembro de" a los objetos Usuario.

  • Abra AD U&C busque su objeto de dominio
  • Haga clic derecho y vaya a propiedades:

    adu-nc-domain

  • Pestaña Seguridad, haga clic en Avanzado
  • Haga clic en Agregar
  • Ingrese el nombre de usuario para agregar
  • Haga clic en la pestaña Propiedades
  • En 'Aplicar sobre', cambie el tipo a Usuario
  • Haga clic en la casilla de verificación "Leer MemberOf":

    ldap-read-member-of de

  • Ok fuera de ahi

Eso debería configurarlo para que la cuenta especificada pueda leer las membresías de grupo de todas las cuentas de usuario en el dominio.

sysadmin1138
fuente
2
Gracias, administrador del sistema: todavía no puedo ver una pestaña de seguridad al hacer clic en las propiedades de mi dominio de prueba (es un servidor 2003 vm, configurado por mí ... un desarrollador: P, por lo que podría estar equivocado) ... aquí hay una imagen de la pantalla de propiedades que veo . tinypic.com/r/10p7cdy/4
Adam Jenkin
99
Ah, eso es. Vaya a Ver y seleccione Funciones avanzadas. Aparecerá una vez que esté activado. Siempre tengo eso encendido, así que olvido que está ahí:}
sysadmin1138
FWIW, esto no parece aplicarse a Windows Server 2012, donde el cuadro de diálogo Agregar es bastante diferente.
Chris Nelson
Para el beneficio de cualquier usuario en Server 2008R2, estas instrucciones son igualmente aplicables, pero la pestaña de propiedades es ligeramente diferente de lo que se describe / ilustra. La configuración está etiquetada "Aplicar a:" y el valor correcto es "Objetos de usuario descendientes". Todas las demás instrucciones siguen siendo las mismas.
jmbpiano
Muchos, muchos permisos ... sysadmin1138.net/images/ldap-read-member-of.png
Kiquenet