Active Directory DynamicsAX 4/0

[Swetik]

Подскажите, из какой группы в домене по умолчанию берется список пользователей при импорте оных мастером? Почему-то далеко не все пользователи появляются в этом списке, хотя в домен входят все.

[gl00mie]

Цитата:

Сообщение от Swetik

Подскажите, из какой группы в домене по умолчанию берется список пользователей при импорте оных мастером? Почему-то далеко не все пользователи появляются в этом списке, хотя в домен входят все.

Список пользователей в домене выбирается не по принадлежности к какой-то группе, а по определенным критериям, связанным с самими пользователями. Упомянутый мастер использует для перечисления пользователей в домене системный класс xAxaptaUserManager (развитие убогого AdObject из Axapta 3.0), который, если верить ковыряниям в недрах ядра, использует в запросе следующий фильтр:

Код:

(&(objectClass=user)(objectCategory=person)(userAccountControl:1.2.840.113556.1.4.803:=512))

Здесь 1.2.840.113556.1.4.803 - идентификатор атрибута userAccountControl в схеме AD, а 512 - значение флага ADS_UF_NORMAL_ACCOUNT (см. статью в MSDN по возможным флагам). Причем в запросе, похоже, значение флага используется именно как битовая маска, а не как значение самого атрибута. Во всяком случае, у меня в список пользователей попадают и те, у кого кроме этого флага установлены еще и другие.
Для проверки можно воспользоваться прилагаемым VBScript'ом, там, правда, не все возможные флаги расшифровываются, но должно хватить. Его выхлоп нужно перенаправить в какой-нить текстовый файл вот так:

Код:

cscript /nologo adsi-list-user-account-flags.vbs>list.txt

В результате для всех пользователей, удовлетворяющих запросу, будет выдана примерно такая информация:

Код:

test, 0x00010202, Тестовый логин, LDAP://CN=test,CN=Users,DC=domain,DC=ru
   0x00000002 - The user account is disabled.
   0x00000200 - This is a default account type that represents a typical user.
   0x00010000 - The password for this account will never expire.

Если нужно будет вывести данные по всем пользователям в домене, то надо будет убрать в строке фильтра условие для userAccountControl, чтобы осталось просто

Код:

(&(objectClass=user)(objectCategory=person))

[Lemming]

http://axforum.info/forums/showthrea...884#post116884

Swetik
AD поднят случайно не на базе Windows 2000 Server? Если да, то столкнулись с такой же проблемой, запрос в сервисную службу открыт, MS обещали исправить этот баг в 4.1. В качестве workaround заведите в AX пользователя, у которого есть расширенные права на домен(Domain Admin железно работает), дайте ему права админа в аксапте, при импорте, он увидет список пользователей домена полностью, а так же сможет активировать введенных в ручную юзеров.

[Swetik]

спасибо, будем пробовать

[gl00mie]

Цитата:

Сообщение от Lemming

AD поднят случайно не на базе Windows 2000 Server? Если да, то столкнулись с такой же проблемой, запрос в сервисную службу открыт, MS обещали исправить этот баг в 4.1.

Боюсь, ни в AX 4.1, ни в 5.0 это не исправят, потому что собака порылась не в Аксапте, а в службе AD виндов. Я тут провел небольшое исследование, результаты см. в этой теме.

Цитата:

В качестве workaround заведите в AX пользователя, у которого есть расширенные права на домен(Domain Admin железно работает), дайте ему права админа в аксапте, при импорте, он увидет список пользователей домена полностью, а так же сможет активировать введенных в ручную юзеров.

По моим наблюдениям, в качестве workaround можно использовать Windows 2003 Server в качестве платформы для AOS.

[AlGol]

Цитата:

Сообщение от Lemming

В качестве workaround заведите в AX пользователя, у которого есть расширенные права на домен(Domain Admin железно работает), дайте ему права админа в аксапте, при импорте, он увидет список пользователей домена полностью, а так же сможет активировать введенных в ручную юзеров.

Спасибо, такой рецепт помог.
Обычный пользователь домена завести пользователей в Аксапте не смог.
Администратор домена это сделал без проблем.