一,前言
需要你对Microsoft AD ,AD GC有一定的了解,并且AD要启用了GC。特别是要弄懂,林和域的关系,你才能明白GC在他俩之间的关系。
GC中文名:全局编录
会将你林下所有域的所有对象存储在一个目录里面,但是并没有存储该对象的所有属性,而是一些常用属性,例如账户名,手机号,电子邮件等。正常情况下,如果你只记得自己的用户名和密码,而不知道账户所在域,你是无法登录的,但是你可以通过GC进行查询自己所在的域,然后再登录。所以你可以把GC简单理解成一个对象常用信息存储目录,当然,GC还有很多强大的功能,这里只是让你将它简单具体化。
二,正文
1.命令构成 ,这里使用明文绑定验证给大家演示
ldapsearch -x -H ldap://<主机名>.<域名>:3268 -D "CN=<管理员名>,CN<管理员所在的组>,DC=<域名前半段>,DC=<域名后半段>" -W "<需要搜索的标识>" <需要搜索的属性>
2.命令拆解
下面是我的实操命令,DC是我主机名,TEST.ORG是我域名,Administrator是根域管理员,lkq是未知域的普通用户。
因为GC查询走的是3268端口,所以是固定的,必填。
然后登录了一个Administrator的管理员,这里是需要提供管理员所在的组和DN用于绑定用的; -W:提示输入Administrator的密码 ;
"cn=*lkq*" 利用dministrator的管理权限去搜索一个叫lkq用户的mail;我这里是通过账户名作为搜索标识,需要搜索的属性为mail。
ldapsearch -x -H ldap://DC.TEST.ORG:3268 -D "CN=Administrator,CN=Users,DC=TEST,DC=ORG" -W "cn=lkq" mail
注意这里的"CN=Administrator,CN=Users,DC=TEST,DC=ORG"和lkq这个用户是没有任何关系的,Administrator是一个根域的管理员账户,他有权查看和修改所有其他域账户的权利,。如果我这里演示登录lkq用户,因为这样就提前知道了lkq所在域了,测试也就没有准确性。
3.和常见命令的区别
这里搜索lkq这个用户的时候,没有通过-b去指定用户所在的域和位置,而是指定端口3268说明使用GC进行搜索。如果将ldap://DC.TEST.ORG:3268换成ldap://DC.TEST.ORG:389,使用普通ldap搜索,函数就会执行失败。因为如果你不通过GC全局目录,Administrator根本不知道lkq在哪个域,又如何查看他的属性呢?
当你把3268和389两个端口都使用命令行执行出结果,你就能更加的理解GC他到底是个什么,而不是一个抽象的东西了。