複数のドメインでのユーザー グループのマッピングを構成する方法

詳細

複数のドメインに存在するユーザーを持つグループに対してグループマッピングを使用するには、子ドメインではなく、ルートドメインに対してマッピングが構成されていることを確認することが重要です。

この理由は、グループマッピングがグローバルカタログを指している場合でも、グループ内のユーザーの DN 文字列だけがプルダウンされるためです。次に、DN 文字列に一致する sAMAccountName の LDAP を通じてクエリが実行されます。これは、システムが Domain\Username. の形式である ip ユーザマッピングデータベースにあるものと一致するためにグループ内のユーザ名を必要とするために行われます。DN 文字列はこれと一致しないため、2番目の LDAP クエリはこの情報を提供します。

これが子ドメインで行われる場合、グローバルカタログは他のドメイン内のユーザーのすべての DN 文字列を提供します。ただし、sAMAccountName はその子ドメインに存在するユーザーのみが、その子パーティションに存在するため、返されます。

ルートが完全に空の場合でも、すべての子ドメインに存在するすべてのユーザーの完全な ' 読み取り専用 ' パーティションがまだあります。そのためには、ルートドメインコントローラにグローバルカタログ (3268) を構成し、ルートドメインコントローラの LDAP (369) も構成するのが最善の方法です。[グループマッピング] オブジェクトの [サーバープロファイル] を設定して、構成されているグローバルカタログを使用します (すべてのドメイン内のすべてのグループを表示できます)。次に、sAMAccountName クエリが実行されると、ルートドメインに対して発生し、すべてのドメインのすべてのユーザーを返します。

所有者: jhillon