自宅で仮想化環境にWindows Server 2016のActive Directoryをたてているのですが、LDAP認証できるサーバーを建てて、外部連携できるか動作確認をしています。

そして、なんとかLDAP認証連携できるようになったんですが、AD独特の指定方法があって意外と苦労しました。

そのLDAP連携において、セキュリティグループでサーチフィルターができるのですが、そこで複数のグループをor条件で指定する設定方法の備忘録です。

ちなみに、こんな感じです。以下のようにグループA～Cのいずれかに所属するユーザーがいると検索にヒットする設定とします。

グループA
グループB
グループC

【書式】
(&(sAMAccountName=%id%)(|(memberOf=<グループAのDN>)(memberOf=<グループBのDN>)(memberOf=<グループCのDN>)))

<グループのDN>というところにActive Directoryで調査したグループのDNを記載すればよいです。これにより複数のグループを指定することができます。

ただ、これを設定するデメリットもあって、グループが多い場合や、複雑な場合は、設定するグループが増えたりすると難しくなるかもしれませんね。

ADとのLDAP連携で複数のグループを指定したい場合は、参考にしてみてください。

ちなみにネスト（階層化）されたグループの検索を指定したい場合は、過去の記事にも記載していますので参考にしてみてください。