Вопрос:
Настроена синхронизация групп из Active Directory.
Если в группе (которая присутствует в фильтре на синхронизации) состоит 1500 пользователей (или менее), то всё работает корректно (группа и пользователи из ад создаются, этим пользователи попадают в группу по умолчанию, согласно настройке ldap провайдера).
Если в группе (которая присутствует в фильтре на синхронизации) состоит более 1500 пользователей, то группа создается, но пользователи в нее не включаются. Они попадают только в группу по умолчанию, который указаны в настройке ldap провайдера.
Причина:
Эта проблема возникает, поскольку Active Directory по умолчанию возвращает только первые 1000 объектов и 1500 атрибутов для каждого объекта в результатах запроса LDAP. При выполнении запроса LDAP из Avanpost FAM, группы считаются объектами, а члены группы (пользователи) — атрибутами. Если вы запрашиваете домен или организационное подразделение (OU), содержащее более 1000 групп, возвращаются только первые 1000 групп. Если вы запросите группу, насчитывающую более 1500 участников, для этой группы не будет получено никаких результатов.
Варианты решения:
- В настройках LDAP провайдера в параметре “Атрибут со списком участников группы” укажите значение диапазона пользователей, чтобы запросить подмножество членов группы, то есть ограничить выборку.
Синтаксис: member;range=0-999, чтобы импортировать первые 1000 участников группы. Пример конфигурации:
- Необходимо увеличить пороговые значение параметра “MaxValRange” большее (в зависимости от количество пользователей в вашей группе) в политиках LDAP в Active Directory.
Для этого необходимо воспользоваться консольной утилитой Ntdsutil.exe.
С подробной инструкцией по изменению параметров политики LDAP в Active Directory можно ознакомится на сайте Microsoft по ссылки: View and set LDAP policy in Active Directory by using Ntdsutil.exe
Дополнительные ресурсы: LDAP Policies