Azure 对rootDSE令牌组的查询为空，应包含用户的安全组_Azure_Active Directory

Azure 对rootDSE令牌组的查询为空，应包含用户的安全组

azure active-directory

Azure 对rootDSE令牌组的查询为空，应包含用户的安全组,azure,active-directory,Azure,Active Directory,一点背景：我正在尝试使用Microsoft DirSync工具将我们的一个开发广告同步到Azure Active Directory设置。配置失败，因为该工具声称我尝试使用的AD帐户缺少“企业管理员”组的成员资格深入研究根本原因，我已经能够指出执行检查的代码正在查询安全组，如下所示： public static void Repro(string userName, string password) { string name = ADValidation.GetUsersFores

一点背景：我正在尝试使用Microsoft DirSync工具将我们的一个开发广告同步到Azure Active Directory设置。配置失败，因为该工具声称我尝试使用的AD帐户缺少“企业管理员”组的成员资格

深入研究根本原因，我已经能够指出执行检查的代码正在查询安全组，如下所示：

public static void Repro(string userName, string password)
{
    string name = ADValidation.GetUsersForest(userName, password).Name;
    string path = string.Format("LDAP://{0}/", name);
    string rootDse = string.Format("{0}rootDSE", path);
    Console.WriteLine("Path: {0}", path);
    Console.WriteLine("RootDse: {0}", rootDse);
    const AuthenticationTypes authenticationType = AuthenticationTypes.Signing | AuthenticationTypes.Secure;
    using (var entry = new DirectoryEntry(rootDse, userName, password, authenticationType))
    {
        entry.RefreshCache(new[] { "tokenGroups" });
        Console.WriteLine(entry.Properties["tokenGroups"].Count);
    }
}

在我们的公司广告上运行此块将产生预期的安全组列表：

Path: LDAP://SOMECORPDOMAIN.EXT/
RootDse: LDAP://SOMECORPDOMAIN.EXT/rootDSE
39

在开发广告上运行时，不会产生任何组：

Path: LDAP://SOMEDEVDOMAIN.EXT/
RootDse: LDAP://SOMEDEVDOMAIN.EXT/rootDSE
0

我对AD的了解非常有限-有人能给我一些建议，说明为什么开发AD不会返回任何用于查询的安全组吗

提前谢谢

/Michael

这可能与广告用户权限有关