Introdução
Este documento descreve por que as consultas de grupo LDAP podem não funcionar em um ESA (Email Security Appliance).
Por que a consulta de grupo LDAP não funciona com o Ative Diretory?
Por que a consulta de grupo LDAP não está produzindo os resultados esperados quando testada com um usuário que é definitivamente um membro do grupo especificado?
Com as consultas de grupo usando o Microsoft Ative Diretory, é necessário usar o DN (nome distinto) do grupo em vez do CN (nome comum). Abaixo estão alguns exemplos de como esses dois itens se parecem:
Nome comum (CN):
Administradores
Usuários Phoenix
Nome Distinto (DN):
CN=Administradores, DC=Exemplo, DC=Com
CN=Phoenix-Users, OU=Phoenix, DC=Cisco, DC=Com
Se não tiver certeza do que é o DN, você poderá localizar isso em Usuários e Computadores do Ative Diretory:
- Vá até o menu "Exibir" e selecione "Recursos avançados"
- Nas propriedades do Objeto de grupo desejado, clique em ‘Editor de atributos’
- Role até o atributo "distinguishedName" e clique duas vezes no atributo
- A string inteira deve ser realçada. Clique com o botão direito do mouse e copie para a área de transferência
Quando tiver o DN do grupo, você poderá usá-lo sempre que especificar o nome do grupo. Isso inclui consultas de teste, filtros de conteúdo e de mensagens e também políticas de e-mail.
Outra abordagem seria usar um dos dois programas a seguir para localizar o DN:
ADExplorer:
http://technet.microsoft.com/en-us/sysinternals/bb963907.aspx
Navegador LDAP do Softerra:
http://www.ldapadministrator.com/download.htm
O processo geral para usar uma dessas ferramentas para essa finalidade é descrito abaixo:
- Conectar-se ao Controlador de Domínio usando a ferramenta de navegação LDAP
- Localizar um objeto de usuário que seja membro do grupo
- Localizar o atributo 'memberOf' do objeto de usuário
- Localize o DN que corresponde ao grupo que você está tentando atingir
- Copiar o DN do grupo-alvo deste atributo