Linux上使用ldapsearch命令通过AD GC查询指定用户

一，前言

需要你对Microsoft AD ,AD GC有一定的了解，并且AD要启用了GC。特别是要弄懂，林和域的关系,你才能明白GC在他俩之间的关系。

GC中文名：全局编录

会将你林下所有域的所有对象存储在一个目录里面，但是并没有存储该对象的所有属性，而是一些常用属性，例如账户名，手机号，电子邮件等。正常情况下，如果你只记得自己的用户名和密码，而不知道账户所在域，你是无法登录的，但是你可以通过GC进行查询自己所在的域，然后再登录。所以你可以把GC简单理解成一个对象常用信息存储目录，当然，GC还有很多强大的功能，这里只是让你将它简单具体化。

二，正文

1.命令构成 ，这里使用明文绑定验证给大家演示

ldapsearch -x -H ldap://<主机名>.<域名>:3268 -D "CN=<管理员名>，CN<管理员所在的组>，DC=<域名前半段>，DC=<域名后半段>" -W  "<需要搜索的标识>"  <需要搜索的属性>

2.命令拆解

下面是我的实操命令，DC是我主机名，TEST.ORG是我域名，Administrator是根域管理员，lkq是未知域的普通用户。

因为GC查询走的是3268端口，所以是固定的，必填。

然后登录了一个Administrator的管理员，这里是需要提供管理员所在的组和DN用于绑定用的; -W