Active Directoryでユーザーグループを列挙するために必要なアクセス許可
ユーザーがActive Directoryのメンバーであるグループを取得する必要がある.net Webアプリケーションがあります。
これを行うには、ユーザーレコードのmemberOf属性を使用しています。
すべてのユーザーレコードでこの属性を読み取るために必要な権限を知る必要があります。
現在、この属性を読み取ろうとすると、一貫性のない結果が得られます。たとえば、同じOUパスに30人のユーザーのユーザーグループがあります。自分の資格情報を使用してADをクエリする-一部のユーザーのmemberOf属性を読み取ることができますが、他のユーザーは読み取れません。ドメイン管理者アカウントでログオンしたときに確認したように、すべてのユーザーにmemberOf属性が設定されています。
ドメインオブジェクトで、クエリを実行しているユーザーに "読み取りMemberOf"権限をユーザーオブジェクトに割り当てる必要があります。
- AD U&Cを開き、ドメインオブジェクトを参照します
- 右クリックしてプロパティに移動します。
![adu-n-c-domain]( "AD Users & Computers, domain object")
- [セキュリティ]タブで、[詳細設定]をクリックします
- 追加をクリックします
- 追加するユーザー名を入力してください
- [プロパティ]タブをクリックします
- 「適用先」でタイプをユーザーに変更します
- 「Read MemberOf」チェックボックスをクリックします。
![ldap-read-member-of]( "The Advanced permission for reading user group-memberships")
- そこからOK
これにより、指定されたアカウントがドメイン内のすべてのユーザーアカウントのグループメンバーシップを読み取ることができるように設定されます。