域管理员通过LDAP

Question

没有表现出组我有使用中的libnss-LDAP绑定到2008 Active Directory域控制器来查找用户和组Debian的挤压系统。一切工作正常，但由于某种原因，任何人谁是域管理员，企业管理员或架构管理员组中没有得到正确的组成员身份。他们只获得* Admin组，并且没有其他人（除非有本地团体申请，哪些会显示）。

更奇怪的是，“getent组”显示用户的所有正确的组成员资格，但“id”或“groups”（以用户身份运行时）不显示。我们使用域组sudo访问，因为它没有看到组成员该用户不能使用sudo。只要*管理员成员资格被删除，查找就能正常工作。

我也许怀疑这是一个AD的安全功能，但我们必须使用NSS-LDAP对这些用户的组成员正确解决的FreeBSD系统。有没有在日志说明为什么这些查找不返回正常的结果，我一直没能找到通过谷歌任何帮助的情况线索。是否有其他人在Debian中使用libnss-ldap连接到可以尝试确认此行为的AD？

编辑：我已经使用ldapsearch证实AD正在返回正确的结果。我也停止nscd以确保它不会干扰。域管理员中的任何用户只能看到他的主要组，本地组和域管理员。

---

顺便说一句，我认为这是问题：

http://support.microsoft.com/kb/976063

Answer 1

为http://support.microsoft.com/kb/976063描述我的答案被删除，但问题是，事实上UAC。问题是，在DC上启用UAC时，Domain Admins实际上存在两种状态。一个是域管理员组（即UAC'shadow'用户）的成员，另一个是普通用户。似乎只有在使用LDAP查询时DC才返回前者。通过创建一个新组，使该组成为Domain Admins的成员而不是帐户本身，并将帐户置于新组中，问题就解决了。

Answer 2

我也有这个问题。

我发现它最终大约18个月前。这是微软的一项安全功能。有一项服务每小时运行一次，并从LDAP搜索中删除管理员。如果您以匿名方式进行查询，您将在1小时内收到正确答案。一小时后你将不会收到任何东西。如果您以域用户身份登录，您将收到正确的信息。这就是为什么你会得到不同的结果。

我不会在这一点上记住服务名称，但我现在正在寻找它。我大约18个月前在微软技术网上发现它，但到现在为止，我不记得它。

的一点是，它的唯一的答案是

1. 禁用该服务，它做许多其他安全项目，这样是不是一个好主意。

2. 更改LDAP搜索的域用户的登录下运行（我们已经做了一些用户）

3. 创建我们每个管理员的相同信息的假重复的联系人。这可能是最简单和最快的，但最容易随时间发展错误信息。

合理的安全保护功能是为了隐藏随机匿名搜索的所有域管理员所以他们的凭据无法通过百科全书密码攻击会受到影响。

卡尔文·托马斯