Active directory 奇怪的ldap筛选器(成员<;=>;CN=usera,OU=xxx,OU=xxx,DC=abc,DC=corp,DC=xyz,DC=com)
在域控制器上,我看到以下请求: 客户: 10.168.x.y:51388 起始节点: DC=abc,DC=corp,DC=xyz,DC=com 过滤器: (成员CN=usera,OU=xxx,OU=xxx,DC=abc,DC=corp,DC=xyz,DC=com) 搜索范围: 子树 属性选择: 名称 服务器控件: 访问过的条目: 55683 返回的条目: 14 使用的索引: 指数:12171:N; 引用的页面: 355546 从磁盘读取的页面: 0 从磁盘预读取的页面: 0 已修改的干净页面: 0 已修改脏页: 0 搜索时间(毫秒): 344 防止优化的属性: 成员Active directory 奇怪的ldap筛选器(成员<;=>;CN=usera,OU=xxx,OU=xxx,DC=abc,DC=corp,DC=xyz,DC=com),active-directory,ldap,cpu-usage,domaincontroller,Active Directory,Ldap,Cpu Usage,Domaincontroller,在域控制器上,我看到以下请求: 客户: 10.168.x.y:51388 起始节点: DC=abc,DC=corp,DC=xyz,DC=com 过滤器: (成员CN=usera,OU=xxx,OU=xxx,DC=abc,DC=corp,DC=xyz,DC=com) 搜索范围: 子树 属性选择: 名称 服务器控件: 访问过的条目: 55683 返回的条目: 14 使用的索引: 指数:12171:N; 引用的页面: 355546 从磁盘读取的页面: 0 从磁盘预读取的页面: 0 已修改的干净页面:
用户: xx\usera 此请求导致Win 2016 DC上的CPU使用率较高 然而,当我在自民党运行这个程序时,它不会返回任何结果。如果我使用文件管理器(member=…),它将返回一些结果。但是如果我使用过滤器(成员……),它不会返回任何内容 我以前从未见过这种过滤器。这是一个有效的过滤器吗?如果不是,为什么会返回事件日志中显示的14个条目
非常感谢您的帮助。我从未看过服务器日志,但我想知道他们是否使用了
LDAP\u匹配\u规则\u链中的对象标识符(OID),而这正是它在日志中显示的方式。实际使用的LDAP查询如下所示:
(member:1.2.840.113556.1.4.1941:=CN=usera,OU=xxx,OU=xxx,DC=abc,DC=corp,DC=xyz,DC=com)
有更多关于它的信息,但基本上,这将搜索任何有用户作为成员的组,但递归。因此,如果组A
包含组B
和组B
包含用户A
,则该搜索将同时返回组A
和组B
。因此,是的,这将是一个有点CPU繁重的搜索,但有时也是一个非常有用的搜索
因此,尝试一下,看看当你尝试它时,是否在日志中看到相同的东西
从应用程序的角度来看,有时这种搜索用于权限,因为如果我们使用上面的示例,如果组A
被授予应用程序的权限,那么即使他们不是直接成员,也应该允许用户A
但是,根据应用程序的编写方式,还有其他方法可以做到这一点。例如,用户的Windows登录令牌已经包含他们所属的每个组的SID的递归列表。但是,当需要此信息时,可能没有可用的登录令牌。这肯定不是有效的筛选器,但它可能是日志中用于扩展搜索的符号,正如@gabriel所指出的那样。我可以使用:1.2.840.113556.1.4.1941:并获取条目。