Introduction
本文描述LDAP组查询为什么在电子邮件安全工具(ESA)上可能不工作。
LDAP组查询为什么不与激活目录一起使用?
LDAP组查询为什么不导致预期结果,当测试与确实是指定的组的组员的用户?
使用组查询使用Microsoft Active Directory,使用特有名(DN)是必要的组而不是它共同名称(CN)。下面什么的一些示例这两个项目看上去象:
共同名称(CN) :
管理员
菲尼斯用户
特有名(DN) :
CN=Administrators, DC=Example, Dc=com
CN=Phoenix-Users, OU=Phoenix, Dc=cisco, Dc=com
如果不是肯定的什么DN是,您能找出此激活目录用户和计算机:
- 去“视图’菜单并且选择“高级特性’
- 从您的期望组对象属性,请点击“属性编辑器’
- 移动到“distinguishedName’属性并且双击属性
- 应该突出显示充分的字符串。 用鼠标右键单击和复制对剪贴板
一旦有组的DN,您能使用它,每当您指定组的名字。 这包括测试查询、内容和消息过滤器,并且邮寄策略。
另一方法将使用以下两个程序之一查找DN :
ADExplorer :
http://technet.microsoft.com/en-us/sysinternals/bb963907.aspx
Softerra LDAP浏览器:
http://www.ldapadministrator.com/download.htm
一般进程为使用这些工具之一如下为此略述:
- 连接到您的使用您的LDAP访问工具的域控制器
- 找出是组的组员的一个用户对象
- 查找用户对象的‘memberOf’属性
- 查找对应于组您设法瞄准的DN
- 从此属性复制目标群的DN