La configuración:¿Qué permisos son necesarios para leer Active Directory como LDAP?
Hay un dominio de AD central (Central) y varios bosques separados, cada uno de los cuales tiene su propio dominio (BRANCH1, BRANCH2, BRANCH3)
Hay confianza de dominio de 2 vías entre el centro y todos los demás dominios.
Una aplicación en la que estoy trabajando se ejecuta en el dominio CENTRAL y realiza búsquedas LDAP en todos los dominios, usando las credenciales CENTRAL \ ldapreader.
Esto funciona perfectamente para CENTRAL y BRANCH1, pero BRANCH2 y BRANCH3 rechazan la conexión con un error de credenciales no válido. Si la búsqueda utiliza una cuenta en esos dominios (BRANCH2 \ ldapreader, etc.), entonces la búsqueda funciona bien.
¿Qué nivel de permisos se necesitan para leer AD como un servidor LDAP? Todo lo que he encontrado indica que esto está permitido para usuarios AUTENTICADOS, lo que debería funcionar bien con CENTRAL \ ldapreader debido a la confianza bidireccional, pero ese no es el comportamiento que estamos obteniendo.
Si con "navegar manualmente" te refieres a conectar con un cliente de navegación LDAP, entonces eso muestra el mismo comportamiento que la aplicación. Revisaré el permiso Mostrar contenido, veré cómo están configurados. – DrStalker
Sí, quería decir conectarme con un cliente LDAP. Mi mejor estimación es que las confianzas con BRANCH2 y BRANCH3 tienen 1) no establecer registros DNS adecuados o 2) tener autenticación selectiva en lugar de autenticación de todo el bosque. – Onots