Vraag Hoe kan ik mijn LDAP-verbindingsreeks vinden?


We bevinden ons in een bedrijfsnetwerk met een actieve directory en we willen graag wat LDAP-dingen (actieve directory-lidmaatschapsprovider, eigenlijk) uittesten en tot nu toe kan geen van ons uitvinden wat onze LDAP-verbindingsreeks is. Weet iemand hoe we het kunnen vinden? Het enige dat we weten, is het domein waarop we ons bevinden.


99
2018-04-08 13:43


oorsprong




antwoorden:


De ASP.NET Active Directory-lidmaatschapsprovider voert een geverifieerde binding aan de Active Directory met een opgegeven gebruikersnaam, wachtwoord en "verbindingsreeks". De verbindingsreeks bestaat uit de naam van de LDAP-server en het volledig gekwalificeerde pad van het containerobject waarin de opgegeven gebruiker zich bevindt.

De verbindingsreeks begint met de URI LDAP://.

Voor de servernaam kunt u de naam van een domeincontroller in dat domein gebruiken, laten we zeggen "dc1.corp.domain.com". Dat geeft ons LDAP://dc1.corp.domain.com/ zo ver.

Het volgende bit is het volledig gekwalificeerde pad van het containerobject waar de inbindende gebruiker zich bevindt. Laten we zeggen dat u het "Administrator" -account gebruikt en dat de naam van uw domein "corp.domain.com" is. Het "Administrator" -account bevindt zich in een container met de naam "Gebruikers", één niveau lager dan de root van het domein. Dus de volledig gekwalificeerde DN van de container "Gebruikers" zou zijn: CN=Users,DC=corp,DC=domain,DC=com. Als de gebruiker waarmee u verbindt zich in een organisatie-eenheid bevindt, in plaats van een container, bevat het pad "OU = ou-name".

Dus, met behulp van een account in een OU genaamd Service Accounts dat is een sub-OE van een OU genaamd Corp Objects dat is een sub-OE van een domein met de naam corp.domain.com zou een volledig gekwalificeerd pad hebben van OU=Service Accounts,OU=Corp Objects,DC=corp,DC=domain,DC=com.

Combineer de LDAP://dc1.corp.domain.com/ met het volledig gekwalificeerde pad naar de container waar de inbindende gebruiker zich bevindt (zoals, laten we zeggen, LDAP://dc1.corp.domain.com/OU=Service Accounts,OU=Corp Objects,DC=corp,DC=domain,DC=com) en je hebt je "verbindingsreeks".

(U kunt de domeinnaam in de verbindingsreeks gebruiken in tegenstelling tot de naam van een domeincontroller. Het verschil is dat de domeinnaam zal worden omgezet naar het IP-adres van ieder domeincontroller in het domein. Dat kan zowel goed als slecht zijn. Je bent niet afhankelijk van een enkele domeincontroller om de lidmaatschapsprovider te laten werken, maar de naam gebeurt op te lossen naar, zeg, een DC op een externe locatie met vlekkerige netwerkconnectiviteit, dan heb je mogelijk problemen met het lidmaatschap provider werkt.)


93
2018-04-08 14:19



Met SBS 2008 lijkt het erop dat ze zich conformeren aan het standaard "OU" -prefix in de reeks voor de OE's: CN = Uw naam, OU = Gebruikers, DC = voorbeeld, DC = lokaal We voeren functioneel niveau uit 2003. - gravyface
Goed antwoord. Kan ik de inloggegevens van het queryaccount aan de buitenlandse domeincontroller in de verbindingsreeks verstrekken? - Dan
Dus je bedoelt dat de externe machine die toegang zoekt tot ActiveDirectory zich in zijn eigen domein zou moeten bevinden? Wat als mijn lokale computer niet op zijn domein is? Als mijn machine deel uitmaakt van een werkgroep, moet ik dan twee legitimeringen doorgeven om een ​​gebruiker te verifiëren? Ik bedoel, een om in te loggen op WindowsServer machine en de andere is om de gebruikersnaam en het wachtwoord van ActiveDirectory te valideren. Heb ik gelijk? - Dinesh Kumar P
@DineshKumarP: Ik heb een beetje moeite om je te ontleden. De lidmaatschapsprovider gebruikt een geldige legitimatie in de Active Directory (AD) om aan de map te binden. De computer waarop de lidmaatschapsprovider wordt uitgevoerd, hoeft geen lid te zijn van een willekeurig AD-domein, maar u moet deze wel met een geldige legitimatie van de AD configureren om te kunnen functioneren. - Evan Anderson
@ArthurRonald - Gebruikers zonder rechten kunnen standaard verbinding maken met en vragen over Active Directory. In feite is het waarschijnlijk het beste als u onbevoegde gebruikers gebruikt. Active Directory heeft een redelijk uitgebreid ACL-model en u kunt de toegang tot objecten en kenmerken op een zeer gedetailleerde manier beheren. U moet binden met een account dat voldoende rechten heeft om u te helpen wat u nodig hebt, maar niet meer. - Evan Anderson


Type dsquery /? in een opdrachtprompt.

bv: dsquery user -name Ja* krijgt de verbindingsstrings voor alle gebruikers met namen die beginnen in Ja *.


22
2018-04-08 14:26



Ik vind deze benadering leuk, het geeft de juiste volgorde van OU's en dergelijke. Om het voor de hand te houden, gebruik LDAP: //dc1.corp.domain.com/ en de uitvoer van de opdracht & combineer ze om een ​​ldap-string gemakkelijk stil te maken. - RandomUs1r
Welke hulpmiddelen heb je nodig om dit commando te gebruiken? - Pred
Pred, zie dit antwoord. - Stas Bushuev


Ik gebruik deze tool van Softerra (ze maken een uitstekende freeware LDAP-browser) om de gebruikers-DN te krijgen van de momenteel ingelogde gebruiker: http://www.ldapbrowser.com/download.htm


16
2018-04-08 17:36



Stap 1: Selecteer bij de stap "Inloggegevens" "Momenteel ingelogde gebruiker (alleen Active Directory)". Stap 2: Wanneer de verbinding is gemaakt, gaat u in de eigenschappen naar het tabblad "Boeking" en kopieert u de URL. Stap 3: Gebruik die URL samen met de DN gevonden met de ErJab-oplossing. - Nicolas Raoul


Ik heb altijd problemen gehad met het vinden van de juiste manier om de OE te typen. Het bevel dsquery ou domainroot geeft u een lijst met de juiste namen van alle OE's in uw domein. Niet zeker of dit zal helpen voor een grotere organisatie.


6
2018-06-03 08:07





  1. Installeer Remote Server Administration Tools: http://www.microsoft.com/en-us/download/details.aspx?id=7887

  2. Open een opdrachtprompt en voer> dsquery-server in

Bekijk dit bericht voor meer informatie (onderaan het bericht): http://www.schiffhauer.com/mvc-5-and-active-directory-authentication/


4
2018-02-20 02:50





Als u ADSIedit opent, zou het u het pad moeten tonen wanneer u kiest om Verbinden met ...

enter image description here


3
2018-04-15 20:59





De volledige syntaxis is op http://www.faqs.org/rfcs/rfc2255.html


2
2017-07-27 09:56





Ik vond de gemakkelijkste manier:

Je kunt ook vinden van

Actieve adreslijstserver -> Kies de organisatie-eenheid OU -> Rechts   Klik -> Eigenschappen -> AttributeEditor -> DistinguishedName

Ik kreeg deze van Microsoft Windows Server 2012 R2


1