Почему встроенные группы безопасности не входят в атрибут memberOf?

Question

Если я запрашиваю AD, то для некоторых пользователей атрибут memberOf не содержит встроенных групп. Пользователи с этой проблемой перемещаются в отдельном подразделении.

Запрос прост:

(&(objectClass=person)(uid=xyz)) 

Но "Active Directory пользователи и компьютеры" инструмент от Microsoft показывают эти элементы. Где может быть проблема? Является ли это проблемой прав доступа?

Answer 1

Существует понятие первичной группы в AD. По умолчанию обычно используются пользователи домена.

Это объект объекта как атрибут PrimaryGroupID, а 513 - пользователи домена.

Может быть и должно быть только одна первичная группа, и для удаления текущего необходимо сначала добавить другую группу в качестве члена, а затем сменить основной идентификатор группы.