Oggy512 10 Geschrieben 5. Oktober 2012 Melden Geschrieben 5. Oktober 2012 Hallo zusammen, ich würde gerne über die AD MMC eine Filterabfrage generieren, welche mir User aus mehreren Gruppen (welche sich in der gleichen OU befinden) anzeigt. Meine Filterabfrage lautet dann grundsätzlich wie folgt: (objectCategory=user)(memberof=CN=XY.1,OU=Groups,OU=XY,OU=X,DC=subdomain2,DC=subdomain1,DC=de) Ich möchte nun nach der Gruppenzugehörigkeit von XY.1, XY.2 oder XY.3 filtern, d.h. alle User, die Mitglied einer dieser Gruppen sind. Wenn ich alle Gruppen nacheinander in die Abfrage machen, ist die Abfrage allerdings zu lang. Besteht also die Möglichkeit mehrere CNs innerhalb einer Abfrage zu benennen? (Da ja alle Gruppen in der gleichen OU liegen) Ich kann nicht nur nach der OU Filtern, da dort auch andere Gruppen, z.B. XZ.1, XZ.2, usw sind, welche ich nicht in der Ergebnisliste haben will. Eine Abfrage mit DSGET fällt weg, da diese Abfrage als gespeicherte Abfrage in der MMC laufen soll. Weis jemand Rat? :)
P.Foeckeler 11 Geschrieben 5. Oktober 2012 Melden Geschrieben 5. Oktober 2012 Hmm, leider sieht es so aus, als müsstest du mit der langen Filtersyntax zurechtkommen. Denn wenn du mehrere Gruppen hast (z.B. XY.1, XY.2 oder XY.3), dann gibt es tatsächlich nur den Weg, die Mitgliedschaft einzeln über ODER-Verknüpfungen abzufragen. Also an (&(|(memberof=CN=XY.1,OU=Groups,OU=XY,OU=X,DC=subdomain2,DC=subdomain1,DC=de)(memberof=CN=XY.2,OU=Groups,OU=XY,OU=X,DC=subdomain2,DC=subdomain1,DC=de)(memberof=CN=XY.3,OU=Groups,OU=XY,OU=X,DC=subdomain2,DC=subdomain1,DC=de))(objectCategory=user)) führt nichts vorbei. Denn: Für die Abfrage nach einem Distinguished Name - Attribut (in unserem Fall "memberOf") sind keine Wildcards erlaubt. Ein (&(memberof=CN=XY.*,OU=Groups,OU=XY,OU=X,DC=subdomain2,DC=subdomain1,DC=de)(objectCategory=user)) klappt also nicht! Übrigens würde ich das Kriterium "(objectCategory=user)" immer ans Ende des Filters hängen, der Filter wird nämlich in der Reihenfolge der Kriterien ausgewertet, wenn das am Anfang steht, dann dauert die Abfrage viel länger, weil der DC erstmal ziemlich viele Treffer hat dadurch. Tip: SelfADSI : LDAP Filter Gruß, Philipp
Oggy512 10 Geschrieben 5. Oktober 2012 Autor Melden Geschrieben 5. Oktober 2012 hm, mist, das dachte ich mir aber schon... mit der Wildcard hatte ich auch schon getestet, aber wie du sagst klappt es nicht. und wenn ich alle 3 Gruppen einzeln aufliste, ist die Abfrage in der MMC leider zu lang. dann wird das wohl so nicht hinhauen. schade. aber danke für die Hilfe!
P.Foeckeler 11 Geschrieben 5. Oktober 2012 Melden Geschrieben 5. Oktober 2012 Warum zu lang ? Also rein vom System her kann ein DC locker mit Abfragen von weit mehr als 1000 Characters umgehen. Ist dass Eingabefeld in der MMC beschränkt oder was?
Oggy512 10 Geschrieben 5. Oktober 2012 Autor Melden Geschrieben 5. Oktober 2012 Ja, das Eingabefeld ist beschränkt, zumindest lässt es keine weiteren Eingaben zu. Es ist augenscheinlich auf 358 Zeichen beschränkt (oder ggf. auf 3 Bedingungen, ich bräuchte aber 4-5)
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden