Comment faire pour configurer un mappage de groupe pour les utilisateurs dans plusieurs domaines

Détails

La clé pour obtenir des mappages de groupe pour travailler pour les groupes qui ont des utilisateurs existants dans plusieurs domaines est de s'assurer que les mappages sont configurés sur le domaine racine, et non pas un domaine enfant.

La raison en est que, même si le mappage de groupe pointe vers un catalogue global, seules les chaînes DN pour les utilisateurs d'un groupe seront déchargées. Ensuite, une requête est exécutée via LDAP pour le sAMAccountName qui correspond à la chaîne DN. Ceci est fait parce que le système a besoin des noms d'utilisateur dans le groupe pour correspondre à ce qu'il a dans la base de données de mappage d'ip-utilisateur, qui est sous la forme de domaine\nomutilisateur. Comme la chaîne DN ne correspond pas à cela, la seconde requête LDAP fournit ces informations.

Si cela se fait avec un domaine enfant, le catalogue global fournira toutes les chaînes DN pour les utilisateurs d'autres domaines; Toutefois, sAMAccountName ne retourne que les utilisateurs qui existent dans ce domaine enfant, car ils n'existent que dans cette partition enfant.

Même si la racine est complètement vide, elle a toujours une partition complète en lecture seule de tous les utilisateurs qui existent dans tous les domaines enfants. Par conséquent, la meilleure façon de procéder consiste à configurer un catalogue global (3268) vers les contrôleurs de domaine racine, tout en configurant un LDAP (369) pour les contrôleurs de domaine racine. Définissez le «profil serveur» dans l'objet mappage de groupe pour utiliser le catalogue global configuré (de sorte que tous les groupes de tous les domaines peuvent être vus). Ensuite, lorsque la requête samAccountName est exécutée, elle se produit sur le domaine racine et renvoie tous les utilisateurs de tous les domaines.

propriétaire: jhillon