Wer per LDAP (oder auch per ADSI) die Mitglieder bestimmter Gruppen abfragen möchte, nutzt dafür das Feld “member” der jeweiligen Gruppe. Das funktioniert wurderbar – mit einer Ausnahme: Für die Gruppe “Domänen-Benutzer” gibt dies (in der Regel) keine Mitglieder aus. Warum ist das so? In “Domänen-Benutzer” ist doch automatisch jedes AD-Benutzerkonto Mitglied?
Die Lösung liegt in einer speziellen Eigenschaft von Windows, die Windows selbst überhaupt nicht benötigt, sondern die nur zur Kompatibilität mit anderen Systemen eingerichtet wurde. Die Gruppe „Domain Users“ (im Deutschen „Domänen-Benutzer“) ist bei allen bzw. fast allen Benutzern die primäre Gruppe. In dem Fall steht der jeweilige Benutzer nicht in der Mitgliederliste (Feld „member“ der Gruppe). Die Mitgliedschaft wird beim jeweiligen Benutzerobjekt im Feld „primaryGroupID“ geführt. Dort steht der RID der jeweiligen Gruppe (für Domain Users: 513, siehe Well-known security identifiers in Windows operating systems).
Der LDAP-Filter muss in diesem Fall also (auch) nach Objekten suchen, bei denen in primaryGroupID der Wert 513 steht:
(primaryGroupID=513)
http://faq-o-matic.net/?p=1097