Inleiding
Dit document beschrijft waarom LDAP-groepsvragen mogelijk niet werken aan een e-mail security applicatie (ESA).
Waarom werkt de LDAP-groepsquery niet met Active Directory?
Waarom levert de LDAP-groepsquery niet de verwachte resultaten wanneer deze wordt getest met een gebruiker die absoluut lid is van de opgegeven groep?
Bij groepsvragen met Microsoft Active Directory is het noodzakelijk om de voorname naam (DN) van de groep te gebruiken in plaats van de gewone naam (CN). Hieronder zie je wat voorbeelden van hoe deze twee eruit zien:
Gebruikelijke naam (GN):
Beheerders
Phoenix-gebruikers
Naam (DN):
CN=beheerders, DC=Voorbeeld, DC=Com
CN=Phoenix-Gebruikers, OU=Phoenix, DC=Cisco, DC=Com
Als u niet zeker weet wat de DN is, kunt u dit vinden in Active Directory Gebruikers en Computers:
- Ga naar het menu ‘Beeld’ en selecteer ‘Geavanceerde functies’
- Klik vanuit de eigenschappen van uw gewenste groepsobject op de ‘Attribute Editor’
- Blader naar het kenmerk ‘voornaamNaam’ en dubbelklik op het kenmerk
- De volledige string dient gemarkeerd te worden. Rechtsklik en kopie aan het klembord
Zodra u de DN van de groep hebt, kunt u deze gebruiken wanneer u de naam van de groep specificeert. Dit omvat testvragen, inhoud en berichtfilters, en ook postbeleid.
Een andere benadering zou zijn om één van de volgende twee programma's te gebruiken om DN te vinden:
ADEverkenner:
http://technet.microsoft.com/en-us/sysinternals/bb963907.aspx
Softerra LDAP-browser:
http://www.ldapadministrator.com/download.htm
De algemene procedure voor het gebruik van een van deze instrumenten voor dit doel wordt hieronder beschreven:
- Verbind met uw Domain Controller met behulp van uw LDAP-browsetool
- Zoek een gebruikersobject dat lid is van de groep
- Vind de user object 'memberOf' attributen
- Vind de DN die overeenkomt met de groep die u probeert te bereiken
- Kopieert de DN van de doelgroep van deze eigenschap