Der Aufbau:Welche Berechtigungen sind erforderlich, um Active Directory als LDAP zu lesen?
Es gibt eine zentrale AD-Domäne (zentral) und mehrere seperate Wälder, von denen jede ihre eigenen Domain hat (BRANCH1, Branch2, BRANCH3)
Es gibt 2-Wege-Domäne vertraut zwischen zentralen und alle anderen Domains.
Eine Anwendung, an der ich arbeite, wird in der CENTRAL-Domäne ausgeführt und führt LDAP-Suchen in allen Domänen mit den Anmeldeinformationen CENTRAL \ ldapreader aus.
Dies funktioniert perfekt für CENTRAL und BRANCH1, aber BRANCH2 und BRANCH3 verweigern die Verbindung mit einem ungültigen Anmeldeinformationen Fehler. Wenn die Suche stattdessen ein Konto in diesen Domänen verwendet (BRANCH2 \ ldapreader usw.), funktioniert die Suche einwandfrei.
Welche Berechtigungen sind erforderlich, um AD als LDAP-Server zu lesen? Alles, was ich gefunden habe, zeigt an, dass dies für AUTENTIZIERTE BENUTZER erlaubt ist, was wegen der Zwei-Wege-Vertrauenswürdigkeit gut mit CENTRAL \ ldapreader funktionieren sollte, aber das ist nicht das Verhalten, das wir bekommen.
Wenn Sie mit "manuell durchsuchen" die Verbindung zu einem LDAP-Browserclient meinen, dann zeigt dies das gleiche Verhalten wie die Anwendung. Ich überprüfe die Liste Inhalte Inhalt, sehen Sie, wie sie konfiguriert sind. – DrStalker
Ja, ich meinte die Verbindung mit einem LDAP-Client. Meine beste Vermutung für jetzt ist, dass die Vertrauensstellungen mit BRANCH2 und BRANCH3 entweder 1) nicht richtige DNS-Einträge festgelegt haben oder 2) selektive Authentifizierung anstelle der gesamtstrukturweiten Authentifizierung haben. – Onots