Azure 对rootDSE令牌组的查询为空,应包含用户的安全组
一点背景: 我正在尝试使用Microsoft DirSync工具将我们的一个开发广告同步到Azure Active Directory设置。配置失败,因为该工具声称我尝试使用的AD帐户缺少“企业管理员”组的成员资格 深入研究根本原因,我已经能够指出执行检查的代码正在查询安全组,如下所示:Azure 对rootDSE令牌组的查询为空,应包含用户的安全组,azure,active-directory,Azure,Active Directory,一点背景: 我正在尝试使用Microsoft DirSync工具将我们的一个开发广告同步到Azure Active Directory设置。配置失败,因为该工具声称我尝试使用的AD帐户缺少“企业管理员”组的成员资格 深入研究根本原因,我已经能够指出执行检查的代码正在查询安全组,如下所示: public static void Repro(string userName, string password) { string name = ADValidation.GetUsersFores
public static void Repro(string userName, string password)
{
string name = ADValidation.GetUsersForest(userName, password).Name;
string path = string.Format("LDAP://{0}/", name);
string rootDse = string.Format("{0}rootDSE", path);
Console.WriteLine("Path: {0}", path);
Console.WriteLine("RootDse: {0}", rootDse);
const AuthenticationTypes authenticationType = AuthenticationTypes.Signing | AuthenticationTypes.Secure;
using (var entry = new DirectoryEntry(rootDse, userName, password, authenticationType))
{
entry.RefreshCache(new[] { "tokenGroups" });
Console.WriteLine(entry.Properties["tokenGroups"].Count);
}
}
在我们的公司广告上运行此块将产生预期的安全组列表:
Path: LDAP://SOMECORPDOMAIN.EXT/
RootDse: LDAP://SOMECORPDOMAIN.EXT/rootDSE
39
在开发广告上运行时,不会产生任何组:
Path: LDAP://SOMEDEVDOMAIN.EXT/
RootDse: LDAP://SOMEDEVDOMAIN.EXT/rootDSE
0
我对AD的了解非常有限-有人能给我一些建议,说明为什么开发AD不会返回任何用于查询的安全组吗
提前谢谢
/Michael这可能与广告用户权限有关