المقدمة
يوضح هذا المستند لماذا قد لا تعمل استعلامات مجموعة LDAP على جهاز أمان البريد الإلكتروني (ESA).
لماذا لا يعمل استعلام مجموعة LDAP مع Active Directory؟
لماذا لا ينتج استعلام مجموعة LDAP النتائج المتوقعة عند إختباره مع مستخدم يكون بالتأكيد عضوا في المجموعة المحددة؟
باستخدام استعلامات المجموعة باستخدام Microsoft Active Directory، من الضروري إستخدام الاسم المميز (DN) للمجموعة بدلا من الاسم الشائع (CN) الخاص بها. وفيما يلي بعض الأمثلة على ما يبدو عليه هذان العنصران:
الاسم الشائع (CN):
الإداريون
مستخدمو فينيكس
الاسم المميز (DN):
CN=Administrators، DC=Example، DC=Com
cn=Phoenix-users، ou=Phoenix، dc=cisco، dc=com
إذا لم تكن متأكدا من قيمة DN، فيمكنك تحديد موقع هذا في Active Directory Users and Computers:
- انتقل إلى القائمة "عرض" وحدد "ميزات متقدمة"
- من خصائص كائن المجموعة الذي تريده، انقر فوق "محرر السمات"
- قم بالتمرير إلى سمة 'distinguishedName' وانقر نقرا مزدوجا على السمة
- السلسلة الكاملة يجب إبرازها. انقر بزر الماوس الأيمن ثم انسخ إلى الحافظة
بمجرد أن يكون لديك ال DN الخاص بالمجموعة، يمكنك إستخدامه كلما قمت بتحديد اسم المجموعة. ويتضمن ذلك استعلامات الاختبار، وعوامل تصفية المحتوى والرسائل، ونهج البريد أيضا.
وثمة نهج آخر يتمثل في إستخدام أحد البرنامجين التاليين للعثور على شبكة DN:
ADExplorer:
http://technet.microsoft.com/en-us/sysinternals/bb963907.aspx
مستعرض Softera LDAP:
http://www.ldapadministrator.com/download.htm
ويرد أدناه بيان العملية العامة لاستخدام إحدى هذه الأدوات لهذا الغرض:
- الاتصال بوحدة التحكم بالمجال الخاصة بك باستخدام أداة إستعراض LDAP
- تحديد موقع كائن مستخدم عضو في المجموعة
- البحث عن سمة 'memberOf' لكائن المستخدم
- العثور على DN الذي يتوافق مع المجموعة التي تحاول إستهدافها
- نسخ DN الخاص بالمجموعة الهدف من هذه السمة