Active directory 将Active Directory读取为LDAP需要哪些权限?
设置: 有一个中央AD域(central)和多个独立的林,每个林都有自己的域(BRANCH1、BRANCH2、BRANCH3) 在中心域和所有其他域之间存在双向域信任 我正在处理的应用程序在中心域上运行,并使用凭证中心\ldaReader在所有域上执行LDAP搜索 这非常适用于CENTRAL和BRANCH1,但BRANCH2和BRANCH3拒绝连接时出现无效凭据错误。如果搜索使用这些域中的帐户(BRANCH2\ldaReader等),则搜索工作正常Active directory 将Active Directory读取为LDAP需要哪些权限?,active-directory,ldap,Active Directory,Ldap,设置: 有一个中央AD域(central)和多个独立的林,每个林都有自己的域(BRANCH1、BRANCH2、BRANCH3) 在中心域和所有其他域之间存在双向域信任 我正在处理的应用程序在中心域上运行,并使用凭证中心\ldaReader在所有域上执行LDAP搜索 这非常适用于CENTRAL和BRANCH1,但BRANCH2和BRANCH3拒绝连接时出现无效凭据错误。如果搜索使用这些域中的帐户(BRANCH2\ldaReader等),则搜索工作正常 将AD作为LDAP服务器读取需要什么级别的权限
将AD作为LDAP服务器读取需要什么级别的权限?我所发现的一切都表明,这是允许AUTENTICATED用户使用的,由于双向信任,它应该可以与CENTRAL\ldaReader配合使用,但这不是我们得到的行为。我认为您正在寻找的权限是“列表内容”。您应该确保“CENTRAL\ldaReader”对BRANCH2和BRANCH3具有此权限
我想知道您是否使用选择性身份验证或林范围身份验证来设置信任,以及是否可以手动浏览BRANCH2和BRANCH3。如果“手动浏览”是指连接LDAP浏览客户端,那么这将显示与应用程序相同的行为。我将检查列表内容权限,看看它们是如何配置的。是的,我的意思是连接LDAP客户端。目前我最好的猜测是,具有BRANCH2和BRANCH3的信任要么1)没有设置正确的DNS记录,要么2)具有选择性身份验证而不是全林身份验证。