如何在多个域中配置用户组映射

详细

将组映射获取到多个域中存在用户的组的工作的关键是确保映射是针对根域而不是子域进行配置的。

原因是, 即使组映射指向全局编录, 也只能将组中用户的 DN 字符串拆下。然后, 通过 LDAP 为与 DN 字符串匹配的 sAMAccountName 执行查询。这样做是因为系统需要组中的用户名来匹配它在 ip 用户映射数据库中所拥有的内容, 它以域 \ 用户名称的形式存在。由于 DN 字符串与此不匹配, 因此第二个 LDAP 查询提供了此信息。

如果这是用子域完成的, 全局编录将为其他域中的用户提供所有 DN 字符串;但是, sAMAccountName 将只返回该子域中存在的用户, 因为它们只存在于该子分区中。

即使根目录完全为空, 它仍然拥有所有子域中存在的所有用户的完全 "只读" 分区。因此, 最好的方法是将全局编录 (3268) 配置到根域控制器, 同时为根域控制器配置 LDAP (369)。在组映射对象中设置 "服务器配置文件" 以使用配置的全局编录 (因此可以看到所有域中的所有组)。然后, 当 sAMAccountName 查询被执行时, 它将发生在根域上, 并返回所有域中的所有用户。

所有者: jhillon