{"id":280096,"date":"2023-04-24T02:18:12","date_gmt":"2023-04-24T00:18:12","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=280096"},"modified":"2024-10-04T11:00:22","modified_gmt":"2024-10-04T09:00:22","slug":"active-directory-bug-in-ldap_matching_rule_in_chain-abfrage","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/04\/24\/active-directory-bug-in-ldap_matching_rule_in_chain-abfrage\/","title":{"rendered":"Active Directory: Bug in LDAP_MATCHING_RULE_IN_CHAIN-Abfrage?"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Windows\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Windows-klein.jpg\" alt=\"Windows\" width=\"200\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2023\/04\/24\/active-directory-bug-in-ldap_matching_rule_in_chain-abfrage\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Es scheint, als ob es einen Bug im Active Directory (AD) bez\u00fcglich der Abfragem\u00f6glichkeiten \u00fcber LDAP_MATCHING_RULE_IN_CHAIN gibt. Damit sollen sich rekursive Gruppen aufl\u00f6sen und Benutzer, die Mitglieder sind, finden lassen. Ein Blog-Leser hat mich diesbez\u00fcglich kontaktiert und den Fehler beschrieben, konnte aber keine zus\u00e4tzliche Verifizierung vornehmen, weil ein zweites AD zum Testen fehlt. Ich stelle es mal ein, vielleicht k\u00f6nnen andere Administratoren das best\u00e4tigen.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg07.met.vgwort.de\/na\/bebe8e8ca7b34665aa8c7e0a9b6a2adc\" alt=\"\" width=\"1\" height=\"1\" \/>Blog-Leser Marco Di Feo hat mich zum 21. April 2023 per Mail kontaktiert, um mich \u00fcber das Problem zu informieren und schrieb in diesem Zusammenhang:<\/p>\n<blockquote><p>Guten Tag Herr Born,<\/p>\n<p>als gro\u00dfer Fan Ihrer Seite wollte ich mich gerne bei Ihnen f\u00fcr Ihre hervorragend recherchierten Inhalte bedanken. Ein ums andere Mal haben wir so schnell wichtige und hilfreiche Informationen gefunden um Probleme in unserer Umgebung zu l\u00f6sen.<\/p>\n<p>Als gro\u00dfes Unternehmen haben wir schon den ein, oder anderen Bug gefunden, den wir bei Microsoft eskaliert haben. Nun haben wir ggf. einen weiteren Bug gefunden, den ich allerdings auf Grund eines fehlenden weiteren ADs nicht verifizieren kann und bereits bei Microsoft eingekippt habe.<\/p>\n<p>Es geht um die LDAP_MATCHING_RULE_IN_CHAIN-Abfragem\u00f6glichkeit die rekursiv Gruppen in Gruppen aufl\u00f6st und alle Benutzer findet, die Mitglied sind.<\/p>\n<p>Diese funktioniert ganz gut, allerdings scheint diese bei uns zumindest Probleme mit Usern zu haben die mal \u00fcber eine zeitbasierte Gruppenmitgliedschaft verf\u00fcgten. Diese tauchen im Ergebnis der Abfrage ebenfalls auf, wie normale User, obwohl diese nicht mehr Mitglied der Gruppe sein d\u00fcrften.<\/p><\/blockquote>\n<p>Marco hat das Problem in einem ausf\u00fchrlichen Beitrag in seinem Blog-Beitrag <a href=\"https:\/\/web.archive.org\/web\/20240424054825\/https:\/\/marco-difeo.de\/2023\/04\/21\/active-directory-time-based-group-membership-and-ldap_matching_rule_in_chain-bug\/\" target=\"_blank\" rel=\"noopener\">Active Directory time based group membership and LDAP_MATCHING_RULE_IN_CHAIN bug<\/a> verfasst. Dort lassen sich die Details des Fehlers nachfragen. Marco schrieb mir dazu:<\/p>\n<blockquote><p>Ich dachte vllt w\u00e4re das f\u00fcr Sie interessant. Ich aktualisiere den Eintrag mit den Ergebnissen meines Cases bei Microsoft. Ich dachte, wenn das wirklich ein Bug w\u00e4re, w\u00e4re es sicher hilfreich f\u00fcr andere, hiervon etwas zu wissen.<\/p>\n<p>Nochmals herzlichen Dank f\u00fcr Ihr Engagement.<\/p><\/blockquote>\n<p>An dieser Stelle meine Frage an Blog-Leser, die AD-Umgebungen administrieren, ob diese die Beobachtungen von Marco Di Feo verifizieren und best\u00e4tigen k\u00f6nnen?<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Es scheint, als ob es einen Bug im Active Directory (AD) bez\u00fcglich der Abfragem\u00f6glichkeiten \u00fcber LDAP_MATCHING_RULE_IN_CHAIN gibt. Damit sollen sich rekursive Gruppen aufl\u00f6sen und Benutzer, die Mitglieder sind, finden lassen. Ein Blog-Leser hat mich diesbez\u00fcglich kontaktiert und den Fehler beschrieben, &hellip; <a href=\"https:\/\/borncity.com\/blog\/2023\/04\/24\/active-directory-bug-in-ldap_matching_rule_in_chain-abfrage\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[2557],"tags":[6712,24,4364],"class_list":["post-280096","post","type-post","status-publish","format-standard","hentry","category-windows-server","tag-active-directory","tag-problem","tag-windows-server"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/280096","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=280096"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/280096\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=280096"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=280096"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=280096"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}