16.07.2015, 22:49
|
#2 |
|
Участник
|
У нас при зажатых правах на доступ к объектам AD помог следующий рецепт:
нужно явно выставлять права на "чтение объекта пользователя" для пользователя, который запрашивает информацию из АД. По умолчанию такие права обычным юзерам не выдаются. Возможно, можно обойтись "малой кровью" - снималась трасса снифером и был найден такой ЛДАП-запрос: (&(&(&(objectClass=user)(objectCategory=person))(samaccountname=username))(userAccountControl:1.2.840.113556.1.4.803:=512)) Если выбросить из него последнее условие (с userAccountControl), то юзер успешно находится под непривелегированным эккаунтом и без выдачи дополнительных прав. Так что, наверное, можно было выдать права только на чтение этого атрибута, чтобы запрос отрабатывал успешно.
__________________
Ален ноби, ностра алис. Что означает - если один человек построил, другой завсегда разобрать может. |
|
|
Древовидный вид