Jump to content

AD Abfrage mehrerer CNs in einer OU


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

 

ich würde gerne über die AD MMC eine Filterabfrage generieren, welche mir User aus mehreren Gruppen (welche sich in der gleichen OU befinden) anzeigt.

 

Meine Filterabfrage lautet dann grundsätzlich wie folgt:

 

(objectCategory=user)(memberof=CN=XY.1,OU=Groups,OU=XY,OU=X,DC=subdomain2,DC=subdomain1,DC=de)

 

Ich möchte nun nach der Gruppenzugehörigkeit von XY.1, XY.2 oder XY.3 filtern, d.h. alle User, die Mitglied einer dieser Gruppen sind. Wenn ich alle Gruppen nacheinander in die Abfrage machen, ist die Abfrage allerdings zu lang. Besteht also die Möglichkeit mehrere CNs innerhalb einer Abfrage zu benennen? (Da ja alle Gruppen in der gleichen OU liegen)

 

Ich kann nicht nur nach der OU Filtern, da dort auch andere Gruppen, z.B. XZ.1, XZ.2, usw sind, welche ich nicht in der Ergebnisliste haben will.

 

Eine Abfrage mit DSGET fällt weg, da diese Abfrage als gespeicherte Abfrage in der MMC laufen soll.

 

Weis jemand Rat? :)

Link zu diesem Kommentar

Hmm, leider sieht es so aus, als müsstest du mit der langen Filtersyntax zurechtkommen. Denn wenn du mehrere Gruppen hast (z.B. XY.1, XY.2 oder XY.3), dann gibt es tatsächlich nur den Weg, die Mitgliedschaft einzeln über ODER-Verknüpfungen abzufragen.

 

Also an

(&(|(memberof=CN=XY.1,OU=Groups,OU=XY,OU=X,DC=subdomain2,DC=subdomain1,DC=de)(memberof=CN=XY.2,OU=Groups,OU=XY,OU=X,DC=subdomain2,DC=subdomain1,DC=de)(memberof=CN=XY.3,OU=Groups,OU=XY,OU=X,DC=subdomain2,DC=subdomain1,DC=de))(objectCategory=user))

 

führt nichts vorbei. Denn: Für die Abfrage nach einem Distinguished Name - Attribut (in unserem Fall "memberOf") sind keine Wildcards erlaubt. Ein

 

(&(memberof=CN=XY.*,OU=Groups,OU=XY,OU=X,DC=subdomain2,DC=subdomain1,DC=de)(objectCategory=user))

 

klappt also nicht!

 

Übrigens würde ich das Kriterium "(objectCategory=user)" immer ans Ende des Filters hängen, der Filter wird nämlich in der Reihenfolge der Kriterien ausgewertet, wenn das am Anfang steht, dann dauert die Abfrage viel länger, weil der DC erstmal ziemlich viele Treffer hat dadurch.

 

Tip:

SelfADSI : LDAP Filter

 

Gruß,

Philipp

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...