Requête LDAP sur AD en excluant une OU

ldiaz · 12/03/2010, 11h59

Bonjour a tous
je voudrais savoir s'il est possible de faire une requete a active directory en excluant un groupe en particulier.

je consulte un AD a partir d'un serveur linux avec un script PYTHON...dans le script je passe le searchfilter comme dans l'exemple.
Exemple:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

(&(objectCategory=person)(objectClass=user))

ce filtre marche tres bien, ca me sort tout le monde. Maintenant je voudrais tout le monde moins les users qui sont dans le group CANCELED
j'ai essayé ceci mais ca marche pas:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

(&(objectCategory=person)(objectClass=user)(!OU=CANCELED))

Ququ'un a une idée de comment faire pour exclure ces users?

D'avance merci

Michaël · 12/03/2010, 13h20

Bonjour,
Les filtres ne portent que sur les attributs des objets. Tu ne peux donc pas faire de filtre sur les OUs directement.

Tu as les attributs distinguishedName et cn sur lesquels il est possible de récupérer l'ou.

edit : D'après ce que j'ai pu voir rapidement sur internet, on peut pas filtrer sur distinguihedName. Tu risques de devoir faire ce filtrage autrement qu'en ldap

ldiaz · 12/03/2010, 13h25

Bonjour,
merci de ta reponse, c'est bien la crainte que j'avais donc.
Tiens regarde j'ai vu ceci:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

"(&(objectCategory=group)(!sAMAccountName=" + groupName + "))" where the group name is the name of the group.

t'en pense quoi? is je colle le om du group ca marcherait?

Michaël · 12/03/2010, 13h36

Là ça veut dire que le compte de connexion n'est pas un groupe. A ce propos, un groupe n'est pas une OU !

La solution "la plus simple" serait éventuellement de coller l'ou dans un attribut que tu créé dans l'ad. Tu pourras ainsi filtrer sur ce nouvel attribut. Il faudra que cet attribut soit toujours correct par rapport à l'OU dans laquelle l'objet est placé. Par exemple, si tu déplaces un objet d'une OU vers une autre, il faudra bien penser à changer l'attribut qui va bien

ldiaz · 12/03/2010, 13h50

Tu veut dire, creer un champs suplementaire dans l'ad qui aurait l'information du groupe quelque part ? Pour ensuite filtrer par ce champs?

L'AD n'est pas a moi, il faut que je pose la question s'ils sont ok pour faire ca...
Je te remercie pour tout ca !

Ciao

12/03/2010, 11h59	#1
ldiaz Membre habitué Luis Inscription : avril 2006 Messages : 397 Détails du profil Informations personnelles : Nom : Luis Informations forums : Inscription : avril 2006 Messages : 397 Points : 112 Points : 112	Requête LDAP sur AD en excluant une OU Bonjour a tous je voudrais savoir s'il est possible de faire une requete a active directory en excluant un groupe en particulier. je consulte un AD a partir d'un serveur linux avec un script PYTHON...dans le script je passe le searchfilter comme dans l'exemple. Exemple: Code : Sélectionner tout - Visualiser dans une fenêtre à part (&(objectCategory=person)(objectClass=user)) ce filtre marche tres bien, ca me sort tout le monde. Maintenant je voudrais tout le monde moins les users qui sont dans le group CANCELED j'ai essayé ceci mais ca marche pas: Code : Sélectionner tout - Visualiser dans une fenêtre à part (&(objectCategory=person)(objectClass=user)(!OU=CANCELED)) Ququ'un a une idée de comment faire pour exclure ces users? D'avance merci
	00

12/03/2010, 13h20	#2
Michaël Rédacteur/Modérateur Michaël Todorovic Ingénieur systèmes et réseaux Inscription : juillet 2003 Messages : 3 471 Détails du profil Informations personnelles : Nom : Michaël Todorovic Âge : 24 Localisation : France, Paris (Île de France) Informations professionnelles : Activité : Ingénieur systèmes et réseaux Informations forums : Inscription : juillet 2003 Messages : 3 471 Points : 5 815 Points : 5 815	Bonjour, Les filtres ne portent que sur les attributs des objets. Tu ne peux donc pas faire de filtre sur les OUs directement. Tu as les attributs distinguishedName et cn sur lesquels il est possible de récupérer l'ou. edit : D'après ce que j'ai pu voir rapidement sur internet, on peut pas filtrer sur distinguihedName. Tu risques de devoir faire ce filtrage autrement qu'en ldap __________________ - Installation et configuration de Exchange 2010 new! - Installation d'Office Communications Server (OCS) 2007 R2 Standard - Présentation de Microsoft Online Services - Installation d'Active Directory sous Windows Server 2008 R2 - Mon blog sur Windows Server, Exchange, OCS et AD \| Mes articles
	00

12/03/2010, 13h25	#3
ldiaz Membre habitué Luis Inscription : avril 2006 Messages : 397 Détails du profil Informations personnelles : Nom : Luis Informations forums : Inscription : avril 2006 Messages : 397 Points : 112 Points : 112	Bonjour, merci de ta reponse, c'est bien la crainte que j'avais donc. Tiens regarde j'ai vu ceci: Code : Sélectionner tout - Visualiser dans une fenêtre à part "(&(objectCategory=group)(!sAMAccountName=" + groupName + "))" where the group name is the name of the group. t'en pense quoi? is je colle le om du group ca marcherait?
	00

12/03/2010, 13h36	#4
Michaël Rédacteur/Modérateur Michaël Todorovic Ingénieur systèmes et réseaux Inscription : juillet 2003 Messages : 3 471 Détails du profil Informations personnelles : Nom : Michaël Todorovic Âge : 24 Localisation : France, Paris (Île de France) Informations professionnelles : Activité : Ingénieur systèmes et réseaux Informations forums : Inscription : juillet 2003 Messages : 3 471 Points : 5 815 Points : 5 815	Là ça veut dire que le compte de connexion n'est pas un groupe. A ce propos, un groupe n'est pas une OU ! La solution "la plus simple" serait éventuellement de coller l'ou dans un attribut que tu créé dans l'ad. Tu pourras ainsi filtrer sur ce nouvel attribut. Il faudra que cet attribut soit toujours correct par rapport à l'OU dans laquelle l'objet est placé. Par exemple, si tu déplaces un objet d'une OU vers une autre, il faudra bien penser à changer l'attribut qui va bien __________________ - Installation et configuration de Exchange 2010 new! - Installation d'Office Communications Server (OCS) 2007 R2 Standard - Présentation de Microsoft Online Services - Installation d'Active Directory sous Windows Server 2008 R2 - Mon blog sur Windows Server, Exchange, OCS et AD \| Mes articles
	00

12/03/2010, 13h50	#5
ldiaz Membre habitué Luis Inscription : avril 2006 Messages : 397 Détails du profil Informations personnelles : Nom : Luis Informations forums : Inscription : avril 2006 Messages : 397 Points : 112 Points : 112	Tu veut dire, creer un champs suplementaire dans l'ad qui aurait l'information du groupe quelque part ? Pour ensuite filtrer par ce champs? L'AD n'est pas a moi, il faut que je pose la question s'ils sont ok pour faire ca... Je te remercie pour tout ca ! Ciao
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email