从两个 Active Directory 组中提取用户

Posted 2023-03-05

【中文标题】从两个 Active Directory 组中提取用户

【英文标题】：Extract users from two Active Directory groups

【发布时间】：2020-05-27 13:41:50

【问题描述】：

我已经尝试了很多次，但我还没有弄清楚，所以我在这里问，希望有人能够帮助我。

我正在使用 Atlassian 的 Bitbucket、Jira 和 Bamboo，它们都与 AD 同步。目前我正在使用我的 AD 用户来检索所有其他用户。它可以工作，但不是最佳的，因为密码每三个月过期一次，我必须更改所有三个应用程序的 LDAP 用户登录信息。我们订购了一个服务用户，其中密码不会过期，但问题是服务用户在另一个组中。

下图显示了 AD 的设置方式。我的服务用户属于特殊用户组。我想将此用户用作设置中的登录用户。这样，当我的 AD 密码过期时，我就不必考虑更改密码了。

然后我想从“普通用户”组中检索所有用户。

如果需要更多信息，请告诉我。

谢谢。

【问题讨论】：

一个 OU 不是一个组。创建一个新的安全组，将所有用户添加到其中，然后将 BitBucket,Jira,Bamboo 中的 Group Object Filter 设置为(&(objectClass=group)(cn=group_name))

Jira 有一个开箱即用的内部 Crowd，您可以让 Jira 连接到用户目录并让所有其他应用程序使用 Jira 进行授权。这样可以节省时间，只需每 3 个月在 1 个应用程序上更新您的 LDAP 密码，并反映在所有 3 个应用程序上

@MathiasR.Jessen。我在一家我无权创建新组的公司工作。这是我公司的设置。是否有机会从一个 OU 中提取一个用户并从另一个 OU 中提取所有用户？

仅当您针对一个共同的祖先 OU - 代替您可以过滤的组成员身份时，它还将包括来自第一个 OU 的任何其他用户。所以不，去告诉你公司的 AD 管理员你需要一个安全组来完成这个任务:)

【参考方案1】：

您还可以添加指向 Active Directory 不同部分的多个用户目录。

Jira 有一个开箱即用的内部 Crowd。

您可以让 Jira 连接到用户目录并让所有其他应用程序使用 Jira 进行身份验证。

这样可以节省时间，只需每 3 个月在 1 个应用程序上更新您的 LDAP 密码并反映在所有 3 个应用程序上

【讨论】：

这样可以节省我一些时间，但不能解决问题。

为什么不能解决问题？如果您有两个用户目录指向活动目录的不同部分，则这两个目录都将在您的用户列表中可用。

因为我仍然需要每 3 个月更改一次密码。