简介
本文描述LDAP组查询为什么在电子邮件安全工具(ESA)可能不工作。
LDAP为什么分组查询不与活动目录一起使用?
LDAP组查询为什么不导致预期结果,当测试与确实是指定的组的组员的用户?
使用组查询使用Microsoft Active Directory,使用组的特有名(DN)是必要的而不是它共同名称(CN)。下面什么的一些示例这两个项目看上去象:
公用名称 (cn):
管理员
凤凰城用户
特有名(DN) :
CN=Administrators, DC=Example, Dc=com
CN=Phoenix-Users, OU=Phoenix, Dc=cisco, Dc=com
如果不是肯定的什么DN是,您在激活目录用户和计算机能找出此:
- 去“视图’菜单并且选择“高级特性的
- 从您的希望的组对象属性,请点击“属性编辑器’
- 移动对“distinguishedName’属性并且双击属性
- 应该突出显示全双工字符串。 右键单击和复制对剪贴板
一旦有组的DN,您能使用它,每当您指定组的名称。 这包括测验查询、内容和消息过滤器,并且邮寄策略。
另一方法将使用以下两个程序之一查找DN :
ADExplorer :
http://technet.microsoft.com/en-us/sysinternals/bb963907.aspx
Softerra LDAP浏览器:
http://www.ldapadministrator.com/download.htm
一般进程为使用这些工具之一如下为此略述:
- 连接到您的使用您的LDAP的域控制器浏览工具
- 找出是组的组员的用户对象
- 查找用户对象的‘memberOf’属性
- 查找对应于组您尝试瞄准的DN
- 复制目标群的DN从此属性的
反餽