将Active Directory读取为LDAP需要哪些权限？

Question

设置：

有一个中心AD域(中心)和多个独立的林，每个林都有自己的域(BRANCH1、BRANCH2、BRANCH3)

在中心域和所有其他域之间存在双向域信任。

我正在开发的一个应用程序在中央域上运行，并使用凭据中央阅读器在所有域上执行LDAP搜索。

这对于CENTRAL和BRANCH1非常有效，但BRANCH2和BRANCH3会拒绝连接，并显示无效凭据错误。如果搜索使用的是这些域(BRANCH2\ldapreader等)中的帐户，则搜索可以正常工作。

需要什么级别的权限才能将AD作为LDAP服务器读取？我找到的所有东西都表明这是AUTENTICATED用户所允许的，由于双向信任，这应该可以在CENTRAL\ldapreader上很好地工作，但这不是我们得到的行为。

Answer 1

我认为您正在寻找的权限是“列出内容”。您应确保"CENTRAL\ldapreader“对BRANCH2和BRANCH3具有此权限。

我想知道您是否设置了选择性身份验证或全林性身份验证的信任，以及您是否可以手动浏览BRANCH2和BRANCH3。