[解決済み] ObjectClass=userと(&(sAMAccountType=805306368)(sAMAccountName=userName))の違いは何ですか？

質問

Active Directoryで特定のユーザーの全グループを取得します。どのフィルタが効率的か教えてください。

どのように解決するのですか？

AD環境が稼働しているサーバーのバージョンによりますが、ほとんど違いはありません。

のドキュメントを見てください。 objectClass , sAMAccountName そして sAMAccountType . これらのページでリストされるプロパティの1つが "Is Indexed" であることにお気づきでしょう。これは、その属性が各サーバーバージョンでインデックスされているかどうかを示しています。 sAMAccountName そして sAMAccountType は常にインデックス化されており objectClass は、Windows Server 2008からインデックスが作成されるようになりました。

特定のアカウントを探すのであれば sAMAccountName をクエリに追加します。

(sAMAccountName=userName)

これは、非常に高速に実行されます。 sAMAccountName がインデックス化されます。を含めたいと思う唯一の理由は sAMAccountType または objectClass は、オブジェクトの種類がわからず、ユーザーアカウントのみを取得するようにしたい場合です。

あるユーザーのすべてのグループを取得したいとのことですが、それについて書いた記事をご覧ください。 ユーザーの全グループを検索する . コード例はC#ですが、原則はどの言語にも当てはまります。