问用sAMAccountName对用户嵌套组进行AD查询

EN

有几个选项可以显示用户的完整组成员资格，包括所有嵌套组。

最简单的方法是查询用户对象的TokenGroups属性。这是一个构造的属性，它将返回当用户身份验证时将添加到用户访问令牌的组中的所有SID。构造属性的唯一条件是，搜索范围必须是返回属性的基本作用域。

LDAP_MATCHING_RULE_IN_CHAIN (1.2.840.113556.1.4.1941)匹配规则的功能受到限制，它只返回用户的DN已添加到组的成员属性的组，因此一些嵌套组将不包含在查询中。

另一种选择是使用第三方工具通过横向组成员返回嵌套组，以查看组成员资格。例如，NetTools用户的成员资格选项https://nettools.net/users-membership和NetTools AD Properties对话框，其中包括TokenGroups选项卡，该选项卡将显示小岛屿发展中国家解析的TokenGroups属性。

您可以通过sAMAccountName搜索用户并请求msds-memberOfTransitive属性，该属性包含用户所属组的可分辨名称的递归列表。

还有msds-tokenGroupNames属性，它包含小岛屿发展中国家出现在tokenGroups属性中的所有组的可分辨名称。

区别在于tokenGroups只包括安全组，而memberOf也包括通讯组。只能使用安全组来分配权限。

这两个属性都是构造的属性，因此必须将其具体地放在属性列表中才能在搜索中返回。

对不起，无法添加注释

要小心msd成员传递属性，它有一些奇怪的逻辑，它不遵循正常的值范围规则，并且可能返回不完整的结果，请参阅https://blog.joeware.net/2021/04/19/6068/。