可以在ldap查询条件中使用操作属性吗

我想查询DominoLDAP中不属于特殊组的人员。组成员身份便于访问，映射到个人记录上的DominoAccess组

dominoaccessgroups的特殊之处在于，它是一个操作属性，在记录中出现的次数较多

我尝试了以下查询

(&(objectClass=dominoPerson)(!(dominoAccessGroups=CN=not_in_this_group)))

但我想排除的那个人仍然在结果中

查询中是否允许使用操作属性

等号必须转义吗

---

属性多次出现是否是一个问题？

您的语法似乎很好，但您不能在搜索中使用

dominoAccessGroups

属性。其行为类似于任何条目都不存在此属性

通常也可以查询操作属性（例如displayName）。但是，如果查看LDAP架构数据库中

dominoAccessGroups

的属性描述：

为安全起见，条目所属的所有组。只读 操作属性（过滤器中不允许）

---

我想这是因为它的工作原理。每次您请求

dominoAccessGroups

（如果您不特别希望显示它，则不会计算它），它会递归地计算组成员资格。此外，与其他操作属性相比，它没有被domino字段映射，在全文索引中也找不到它。

非常感谢。本来可以这么容易的