我有组G和用户U。G的条目包括U作为"成员"记录。U的条目不包括G作为"memberOf"记录。(我正在C#中以编程方式查询条目,并在Softerra LDAP Browser中查看它们)。有人能解释这个悖论吗?
memberOf属性不是权威性的。一个组是否列在那里取决于该组的"范围"。它只包括:
- 同一AD林中的通用组
- 与用户来自同一域的全局组
- 域与您正在读取的服务器位于同一域上的本地组(可能与用户属于同一域,也可能与用户不属于同一个域)
我在一篇题为"小心memberOf"的文章中对此进行了更详细的描述。
如果您需要查找memberOf没有列出的组,我还写了一篇文章,名为"使用代码示例查找所有用户组"。