正在寻找用户[email protected]与 objectSidS-1-5-21-1234567890-123465789-123456789-123456,我只找到一个国外安全负责人CN=S-1-5-21-1234567890-123465789-123456789-123456,CN=ForeignSecurityPrincipals,DC=contoso,DC=com。
该外国安全主体不包含我必须读取的属性,因此我想我必须访问该 FSP 的“Home AD”。
FSP 是否具有始终包含用户对象的 LDAP 路径的属性?
是否有标准化/推荐的方式来访问家庭广告?
遗憾的是,FSP 不包含引用对象的 LDAP 路径。
(如果它包含一个,则在重命名/移动对象后需要复制它)
似乎没有简单的方法可以使用 SID 从外部森林取回包含的 AD。
如果在当地森林中,您可以通过绑定来做到这一点LDAP://<SID=S-1-xxxxx>.
一个不太容易的方法是建立一个域 SID 到域映射.
遍历受信任林中的每个域并使用此处的脚本(“脚本解决方案”部分)构建地图。
https://learn.microsoft.com/en-us/archive/blogs/ashleymcglon/powershell-sid-walker-texas-ranger-part-3-exporting-domain-sids-and-trusts
安全主体的 SID 的形式为<domain SID>-<RID>.
例如的域 SIDS-1-5-21-1234567890-123465789-123456789-123456 is S-1-5-21-1234567890-123465789-123456789.
通过提取域 SID(如果在 .NET 中,您可以使用SecurityIdentifier类和AccountDomainSid属性)和地图,然后您可以找出包含的域。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)
