Gruppenzuordnung für Benutzer in mehreren Domänen konfigurieren
Resolution
Details
Der Schlüssel, um Gruppen Mappings für Gruppen zu erhalten, die Benutzer in mehreren Domains haben, ist, sicherzustellen, dass die Mappings gegen die Root-Domäne konfiguriert werden, und nicht eine Kinder Domäne.
Der Grund dafür ist, dass selbst wenn die Gruppen Mappe auf einen globalen Katalog hinweist, nur die DN-Strings für die Nutzer in einer Gruppe heruntergezogen werden. Dann wird eine Abfrage über LDAP für den sAMAccountName ausgeführt, der zum DN-String passt. Dies geschieht, weil das System die Benutzernamen in der Gruppe benötigt, um dem zu entsprechen, was es in der IP-User-Mapping-Datenbank hat, die in Form von Domain\Username. Da der DN-String nicht mit diesem übereinstimmt, liefert die zweite LDAP-Abfrage diese Informationen.
Wenn dies mit einer Kinder Domäne geschieht, wird der globale Katalog alle DN-Strings für Benutzer in anderen Bereichen bereitstellen; der sAMAccountName wird jedoch nur die Benutzer zurückgeben, die in dieser Kinder Domäne existieren, weil Sie nur in dieser Kinder-Partition existieren.
Selbst wenn die Wurzel komplett leer ist, hat Sie immer noch eine vollständige "Read-only"-Partition aller Benutzer, die in allen kindbereichen existieren. Daher ist der beste Weg, dies zu tun, einen globalen Katalog (3268) zu den Root-Domain-Controllern zu konfigurieren, während auch ein LDAP (369) für die Root-Domain-Controller konfiguriert wird. Setzen Sie das ' Server-Profil ' in das Gruppen-Mapping-Objekt, um den globalen Katalog zu verwenden (so können alle Gruppen in allen Domains gesehen werden). Dann, wenn die sAMAccountName-Abfrage ausgeführt wird, wird Sie gegen die Root-Domäne erfolgen und alle Benutzer in allen Domains zurückgeben.
Besitzer: jhillon