用于从 GAL 中排除管理员组的 LDAP 过滤器（在 Zimbra 上）

Question

我正在尝试在 zimbra 8.8.7 上设置外部活动目录 GAL；我当前的工作过滤器是

(&(|(displayName=*%s*)(cn=*%s*)(sn=*%s*)(givenName=*%s*)(mail=*%s*))(|(&(objectCategory=person)(objectClass=user)(!(homeMDB=*))(!(msExchHomeServerName=*)))(&(objectCategory=person)(objectClass=user)(|(homeMDB=*)(msExchHomeServerName=*)))(&(objectCategory=person)(objectClass=contact))(objectCategory=publicFolder)(objectCategory=msExchDynamicDistributionList)))

自动完成过滤器是

(|(cn=%s*)(sn=%s*)(gn=%s*)(mail=%s*))

LDAP 搜索库

dc=sub,dc=domain,dc=com

搜索和自动完成 returns 所有 AD 用户，包括管理员帐户。从 ldap 搜索中排除管理员组的正确方法是什么？ 我需要排除的帐户在 OU "Admins" 中并且是几个组的成员，例如 Buildin "Administrators" 和用户 "Domain Admins"、"Enterprise admins" 等 我尝试添加 (&(objectCategory=group)(!cn=Admin) 但它似乎无效。

Answer 1

决定 post 我已经在生产中的解决方法。无法使排除规则起作用，另一项任务无论如何都需要在 AD 上创建真正的员工组，所以最终将所有人员帐户添加到组人员和域 GAL 搜索如下所示：

LDAP filter: (&(objectCategory=Person)(sAMAccountName=*)(memberOf=cn=Staff,ou=Groups,dc=dc1,dc=domainname,dc=com))

Autocomplete filter: (|(cn=%s*)(sn=%s*)(gn=%s*)(mail=%s*))

LDAP search base: dc=dc1,dc=domainname,dc=com