Introduction
Ce document explique pourquoi les requêtes de groupe LDAP peuvent ne pas fonctionner sur un appareil de sécurité de la messagerie (ESA).
Pourquoi la requête de groupe LDAP ne fonctionne-t-elle pas avec Active Directory ?
Pourquoi la requête de groupe LDAP ne produit-elle pas les résultats attendus lorsqu'elle est testée avec un utilisateur qui est définitivement membre du groupe spécifié ?
Avec les requêtes de groupe utilisant Microsoft Active Directory, il est nécessaire d'utiliser le nom distinctif (DN) du groupe plutôt que son nom commun (CN). Voici quelques exemples de ce à quoi ces deux éléments ressemblent :
Nom usuel (NC) :
Administrateurs
Phoenix-Utilisateurs
Nom distinctif (DN) :
CN=Administrateurs, DC=Exemple, DC=Com
CN=Phoenix-Users, OU=Phoenix, DC=Cisco, DC=Com
Si vous n'êtes pas sûr de ce qu'est le nom distinctif (DN), vous pouvez le localiser dans Utilisateurs et ordinateurs Active Directory :
- Accédez au menu « View » et sélectionnez « Advanced Features » (Fonctionnalités avancées)
- Dans les propriétés de l'objet Groupe de votre choix, cliquez sur l'Éditeur d'attributs
- Faites défiler la liste jusqu'à l'attribut « nom unique » et double-cliquez sur l'attribut
- La chaîne complète doit être mise en surbrillance. Cliquer avec le bouton droit et copier dans le Presse-papiers
Une fois que vous avez le nom distinctif (DN) du groupe, vous pouvez l'utiliser chaque fois que vous spécifiez le nom du groupe. Cela inclut les requêtes de test, les filtres de contenu et de message, ainsi que les stratégies de messagerie.
Une autre approche consisterait à utiliser l'un des deux programmes suivants pour trouver le DN :
ADExplorer :
http://technet.microsoft.com/en-us/sysinternals/bb963907.aspx
Navigateur LDAP Softerra :
http://www.ldapadministrator.com/download.htm
Le processus général d'utilisation de l'un de ces outils à cette fin est décrit ci-dessous :
- Connectez-vous à votre contrôleur de domaine en utilisant votre outil de navigation LDAP
- Localisez un objet utilisateur qui est membre du groupe
- Rechercher l'attribut 'memberOf' de l'objet utilisateur
- Recherchez le nom distinctif (DN) correspondant au groupe que vous essayez de cibler
- Copier le DN du groupe cible à partir de cet attribut