distinguishedName EndsWith的LDAP过滤器？

Question

我正在尝试构建一个LDAP过滤器，它的工作方式类似于下面这个简单的PowerShell命令：

Get-ADUser -Filter * -Properties Department -SearchBase "OU=Company Users,OU=WorkPlace,OU=contoso,DC=fr" | `
    Where{  (($_.SamAccountName -like "user1") -OR ($_.SamAccountName -like "user2") -OR ($_.SamAccountName -eq "user3")) -OR `
            ($_.Department -like "Dpt1/*") -OR `
            ($_.Department -like "Dpt2/*") -OR `
            ($_.Department -like "*/Svc3/*") -OR `
            ($_.SamAccountName -in (Get-ADGroupMember -Identity "Group1" -Recursive).SamAccountName)
         }  

我试着阅读一些示例这里来实现这个过滤器，但是我被困住了(dn出错)：

(&(distinguishedName=*OU=Company Users,OU=WorkPlace,OU=contoso,DC=fr)
(!(employeeNumber=\00))(!(department=\00))
(|(department=Dpt1/*)(department=Dpt2/*)(department=*/Svc3/*)
(sAMAccountName=user1)
(sAMAccountName=user2)
(sAMAccountName=user3))
(objectCategory=person)
(sAMAccountType=805306368))

如何编写此筛选器来列出以OU=Company Users,OU=WorkPlace,OU=contoso,DC=fr结尾或在此OU和子OU中的OU=Company Users,OU=WorkPlace,OU=contoso,DC=fr值的用户？

如果它帮助我需要过滤的用户：

• 需要在指定的OU或子OU中
• 需要匹配某个组的samAccountNames或部门或嵌套memberShip
• 需要填充一些属性(部门、员工编号、.)

Answer 1

Active不允许对任何可区分名称的属性(distinguishedName、member、manager等)使用通配符。

如果您需要在OU和子OU中查找对象，那么将该OU设置为搜索基，我看到您已经在这样做：-SearchBase "OU=Company Users,OU=WorkPlace,OU=contoso,DC=fr"