Fatal编程技术网
  • active-directory/
  • Active directory ADF不返回域组(get aduser也有奇怪的问题)

Active directory ADF不返回域组(get aduser也有奇怪的问题)

active-directory

Active directory ADF不返回域组(get aduser也有奇怪的问题),active-directory,adfs,claims-based-identity,Active Directory,Adfs,Claims Based Identity,我正试图帮助某人解决一个非常奇怪的AD\ADFS问题,我几乎没有想法 我们使用ADF返回用户所属的安全组(以及其他内容)。如果该用户有一个特定的组,那么我们授予他们访问权限。这在其他几个系统\环境中都可以使用。在这种情况下,ADFS不会为用户返回任何域组(我已经检查了一些用户) 如果我使用 Get-aduser username -properties memberof | select -expandproperty memberof 没有显示任何内容。如果我这样做 get-aduser u

我正试图帮助某人解决一个非常奇怪的AD\ADFS问题,我几乎没有想法

我们使用ADF返回用户所属的安全组(以及其他内容)。如果该用户有一个特定的组,那么我们授予他们访问权限。这在其他几个系统\环境中都可以使用。在这种情况下,ADFS不会为用户返回任何域组(我已经检查了一些用户)

如果我使用

Get-aduser username -properties memberof | select -expandproperty memberof
没有显示任何内容。如果我这样做

get-aduser username -properties memberof | measureobject
它确实让我数到一

这是事情变得非常有趣的地方

如果我在ADUC中检查该用户,我会看到它是域用户的成员,但仅此而已。如果我在ADUC中查看有问题的组,它会显示该用户也是该组的成员(但不会在该用户的memberof下显示该组)

如果我选中get-adgroupmember,则表明该用户是我真正需要返回的组的成员。当我使用get aduser检查有问题的用户时(此组未显示),SID对于显示为属于该组的用户是相同的

现在,抛开所有这些不谈——如果我去查询ADF——我不会为相关用户返回任何域组(无论是域用户还是它应该在其中的另一个域组)

我想这可能是与安全相关的,但我不知所措

在我的几个测试环境中,ADFS的这种精确配置绝对完美

有什么建议吗?

有几点:

memberOf
仅显示:

  • 广告林中的组,组范围为Universal
  • 组作用域为全局的同一域上的组
    • 它没有显示:

  • 在任何域上具有域本地作用域的组
  • 林中其他域上具有全局范围的组
    • 还有更多:域用户组有点奇怪。该组的成员通常不在该组的
    Members
    属性中。用户对象有一个名为
    primaryGroupID
    的属性,该属性包含该用户的“主组”的RID。RID是SID的最后一部分。这就是为什么他们成为那个团体的“成员”

    所有这些都意味着您不能依赖
    memberOf
    。您可以搜索用户组的
    成员
    属性(使用用户的
    区分名称
    ):

    如果您需要主要组,也可以单独查找

    但有一个PowerShell cmdlet可以为您实现所有这些功能:

    它返回组对象,因此如果您只需要名称,请将其导入
    选择
    

    Get-ADPrincipalGroupMembership username | Select -ExpandProperty Name

    
有几件事:
    

    memberOf
    仅显示:
    

  • 广告林中的组,组范围为Universal
    • 

  • 组作用域为全局的同一域上的组
    • 
它没有显示:
    

  • 在任何域上具有域本地作用域的组
    • 

  • 林中其他域上具有全局范围的组
    • 
还有更多:域用户组有点奇怪。该组的成员通常不在该组的
    Members
    属性中。用户对象有一个名为
    primaryGroupID
    的属性,该属性包含该用户的“主组”的RID。RID是SID的最后一部分。这就是为什么他们成为那个团体的“成员”
    
所有这些都意味着您不能依赖
    memberOf
    。您可以搜索用户组的
    成员
    属性(使用用户的
    区分名称
    ):
    
如果您需要主要组,也可以单独查找
    
但有一个PowerShell cmdlet可以为您实现所有这些功能:
    
它返回组对象,因此如果您只需要名称,请将其导入
    选择
    

    Get-ADPrincipalGroupMembership username | Select -ExpandProperty Name

    

    谢谢-我已经试过了,它也不会返回“隐藏\神秘”组。这一定是某个地方的安全措施,但在哪里?!编辑为添加-这将返回域用户。同样,最大的问题是ADFS根本没有返回任何群组。两个问题:神秘群组的群组范围是什么?它是否位于与用户不同的域上?组范围是全局的,类型是安全的。单域如果你在ADUC中打开组并使用“属性编辑器”选项卡,你能看到
    成员
    属性中列出的用户吗?这是否有效(如果你使用
    DifferentizedName
    ):
    Get-ADGroup-Filter{member-eq“DifferentizedName”}
    谢谢-我已经尝试过了,它也没有返回“隐藏\神秘“小组。这一定是某个地方的安全措施,但在哪里?!编辑为添加-这将返回域用户。同样,最大的问题是ADFS根本没有返回任何群组。两个问题:神秘群组的群组范围是什么?它是否位于与用户不同的域上?组范围是全局的,类型是安全的。单域如果您在ADUC中打开组并使用“属性编辑器”选项卡,您是否可以看到
    成员
    属性中列出的用户?这是否有效(如果您使用
    DifferentizedName
    ):
    获取ADGroup-Filter{member-eq“DifferentizedName”}