Các thiết lập:Cần có quyền nào để đọc Active Directory dưới dạng LDAP?
Có một miền trung AD (CENTRAL) và nhiều khu rừng riêng biệt, mỗi trong số đó có tên miền riêng của họ (BRANCH1, BRANCH2, BRANCH3)
Có 2 cách tin tưởng miền giữa TRUNG ƯƠNG và tất cả các miền khác.
Ứng dụng tôi đang làm việc trên chạy trên miền CENTRAL và thực hiện tìm kiếm LDAP trên tất cả các miền, sử dụng thông tin đăng nhập CENTRAL \ ldapreader.
Điều này hoạt động hoàn hảo cho CENTRAL và BRANCH1, nhưng BRANCH2 và BRANCH3 từ chối kết nối với lỗi thông tin xác thực không hợp lệ. Nếu tìm kiếm thay vì sử dụng tài khoản trong các tên miền đó (BRANCH2 \ ldapreader, v.v ...) thì tìm kiếm sẽ hoạt động tốt.
Mức độ cần thiết nào để đọc AD dưới dạng máy chủ LDAP? Tất cả mọi thứ tôi đã tìm thấy chỉ ra rằng điều này được cho phép cho NGƯỜI SỬ DỤNG TỰ ĐỘNG, điều này sẽ hoạt động tốt với CENTRAL \ ldapreader do sự tin tưởng hai chiều nhưng đó không phải là hành vi mà chúng ta đang nhận được.
Nếu bằng "duyệt theo cách thủ công", nghĩa là bạn kết nối với ứng dụng trình duyệt LDAP, khi đó sẽ hiển thị cùng một hành vi như ứng dụng. Tôi sẽ xem nội dung Danh sách quyền, xem cách chúng được định cấu hình. – DrStalker
Có, ý tôi là kết nối với máy khách LDAP. Dự đoán tốt nhất của tôi bây giờ là tín thác với BRANCH2 và BRANCH3 có 1) không đặt bản ghi DNS thích hợp hoặc 2) có xác thực chọn lọc thay vì xác thực trên toàn rừng. – Onots