У нас при зажатых правах на доступ к объектам AD помог следующий рецепт:
нужно явно выставлять права на "чтение объекта пользователя" для пользователя, который запрашивает информацию из АД. По умолчанию такие права обычным юзерам не выдаются.
Возможно, можно обойтись "малой кровью" - снималась трасса снифером и был найден такой ЛДАП-запрос:
(&(&(&(objectClass=user)(objectCategory=person))(samaccountname=username))(userAccountControl:1.2.840.113556.1.4.803:=512))
Если выбросить из него последнее условие (с userAccountControl), то юзер успешно находится под непривелегированным эккаунтом и без выдачи дополнительных прав. Так что, наверное, можно было выдать права только на чтение этого атрибута, чтобы запрос отрабатывал успешно.
__________________
Ален ноби, ностра алис.
Что означает - если один человек построил, другой завсегда разобрать может.
|