Фильтры для DN. Особенности работы и примеры

пользователи универсальный фильтр по умолчанию (|(objectclass=posixaccount)(uid= )(samaccounttype=805306368)(&(objectcategory=person)(objectclass=user))) только включенные пользователи (&(|(objectclass=posixaccount)(uid= )(samaccounttype=805306368))(objectcategory=person)(objectclass=user)(!(useraccountcontrol 1 2 840 113556 1 4 803 =2))) все пользователи samaccountname , имя которых начинается с my (можно использовать другой атрибут, содержащий строку) — (&(objectcategory=person)(objectclass=user)(samaccountname=my )) все пользователи, являющиеся членами заданной группы (&(objectcategory=person)(objectclass=user)(memberof=cn=mygroup,ou=myou,dc=domain,dc=my)) все пользователи, являющиеся членами заданной группы, а также все пользователи, являющиеся членами вложенных групп (&(objectcategory=person)(objectclass=user)(memberof 1 2 840 113556 1 4 1941 =cn=mygroup,ou=myou,dc=domain,dc=my)) группы фильтр по умолчанию (|(objectclass=group)(objectclass=organizationalrole)(objectclass=posixgroup)) группы в опиcании которых содержится слово security (&(objectclass=group)(description= security )) группы, входящие в заданную группу (&(objectcategory=group)(objectclass=group)(memberof=cn=mygroup,ou=myou,dc=domain,dc=my)) группы, входящие в заданную группу, а также все вложенные группы (&(objectcategory=group)(objectclass=group)(memberof 1 2 840 113556 1 4 1941 =cn=mygroup,ou=myou,dc=domain,dc=my)) только группы безопасности (&(objectcategory=group)(objectclass=group)(grouptype 1 2 840 113556 1 4 803 =2147483648)) только группы распространения — (&(objectcategory=group)(objectclass=group)(!(grouptype 1 2 840 113556 1 4 803 =2147483648))) особенности работы фильтров с помощью фильтров для dn можно загружать информацию о вложенных группах и пользователях, являющихся членами вложенных групп при этом группы и ограничения входа применяются непосредственно к родительской группе, но не вложенным объектам; выражение после логического оператора должно быть взято в скобки пример (!(useraccountcontrol 1 2 840 113556 1 4 803 =2)) в продуктах компании microsoft часто можно напрямую указать некоторые логические операторы пример (!useraccountcontrol 1 2 840 113556 1 4 803 =2) поиск с подстановочным символом для групп не поддерживается это техническое ограничение большинства ldap серверов, поэтому фильтр вида (&(objectcategory=group)(objectclass=group)(memberof=cn=my ,ou=myou,dc=domain,dc=my)) использовать невозможно