AD не отдает всех пользователей группы, в чем может быть проблема?

Question

[mr.bob]

Имеем Битрикс24 в котором настроен AD/Ldap
При авторизации, по AD находит пользователя и добавляет в битрикс24.
Проблема в импорте теперь, именно при запросе с сервера битрикс24 на ad запрос (&(objectClass=user)(objectCategory=PERSON)) отдает пустой ответ.
Если точечно поиск делать, то, поиск отдает результат с запросом.
В powershell при запросах на получения всех пользователей, отдает все данные, т.е. результат не пустой.
Я так понимаю что проблема в настройках прав или политика прав? Где это можно настроить можете подсказать?

Comments

[Максим Гришин]

LDAP-поиск требует базу и scope поиска - начните с них. И ЕМНИП person все-таки маленькими буквами, может быть критично.

[MaxKozlov]

маленькими лучше, но не обязательно в данном случае

mr.bob, проверяли в powershell под тем же пользователем, которым биндитесь в LDAP битриксом или под своим ?

[Роман Безруков]

mr.bob, а что именно должен вернуть запрос - какой атрибут: displayname, name, sn, givenName, sAMAccountName..?
можно в битриксе указать фильтр (&(objectCategory=person)(objectClass=user)(displayname=*)) и посмотреть на результат

[mr.bob]

MaxKozlov, да, под тем же пользователем. Даже этому пользователю дали админ права.

[mr.bob]

Роман Безруков, фильтр (&(objectCategory=person)(objectClass=user)(displayname=*)) в битриксе пустой ответ, если поставить Алексе*, то, есть результат в ответе. На простой * ничего, также пробовал cn=*

[Роман Безруков]

mr.bob, если оставить только objectCategory и objectClass, то должны все пользователи вернуться... База поиска (BaseDN) какая указана?

[mr.bob]

Роман Безруков, тоже пусто. Это проблема со стороны AD, там надо политику поправить, думал что могут здесь подсказать где эту галочку или настройку сделать.

[Роман Безруков]

mr.bob, вы проверяли тем же пользователем через PowerShell - результат есть. С доп.фильтрами - тоже результат есть. Так что AD работает. Можно еще для проверки выполнить:

(New-Object System.DirectoryServices.DirectorySearcher("(&(objectCategory=person)(objectClass=user))")).FindAll().GetDirectoryEntry().DisplayName

Вот здесь пишут, что косяк в Битриксе

Answer 1

[mr.bob]

Ответ
Проблема была все таки с AD, а точнее, в количестве элементов на странице и запрашиваемые поля из AD.
Количество элементов на странице уменьшил до 10 и поля ограничил 5-6 нужными, поле фото убрал из запроса, данные пошли. Также memory_limit пришлось увеличить т.к. 256мб на процесс не хватило.
Для импорта фото написал отдельные handler который по каждому пользователю если нет фото обращается в AD и импортирует фото.