一，前言

需要你对Microsoft AD ,AD GC有一定的了解，并且AD要启用了GC。特别是要弄懂，林和域的关系,你才能明白GC在他俩之间的关系。

GC中文名：全局编录

会将你林下所有域的所有对象存储在一个目录里面，但是并没有存储该对象的所有属性，而是一些常用属性，例如账户名，手机号，电子邮件等。正常情况下，如果你只记得自己的用户名和密码，而不知道账户所在域，你是无法登录的，但是你可以通过GC进行查询自己所在的域，然后再登录。所以你可以把GC简单理解成一个对象常用信息存储目录，当然，GC还有很多强大的功能，这里只是让你将它简单具体化。

二，正文

1.命令构成 ，这里使用明文绑定验证给大家演示

ldapsearch -x -H ldap://<主机名>.<域名>:3268 -D "CN=<管理员名>，CN<管理员所在的组>，DC=<域名前半段>，DC=<域名后半段>" -W  "<需要搜索的标识>"  <需要搜索的属性>

2.命令拆解

下面是我的实操命令，DC是我主机名，TEST.ORG是我域名，Administrator是根域管理员，lkq是未知域的普通用户。

因为GC查询走的是3268端口，所以是固定的，必填。

然后登录了一个Administrator的管理员，这里是需要提供管理员所在的组和DN用于绑定用的; -W：提示输入Administrator的密码 ;

"cn=*lkq*" 利用dministrator的管理权限去搜索一个叫lkq用户的mail；我这里是通过账户名作为搜索标识，需要搜索的属性为mail。

ldapsearch -x -H ldap://DC.TEST.ORG:3268 -D "CN=Administrator,CN=Users,DC=TEST,DC=ORG" -W "cn=lkq" mail

注意这里的"CN=Administrator,CN=Users,DC=TEST,DC=ORG"和lkq这个用户是没有任何关系的，Administrator是一个根域的管理员账户，他有权查看和修改所有其他域账户的权利，。如果我这里演示登录lkq用户，因为这样就提前知道了lkq所在域了，测试也就没有准确性。

3.和常见命令的区别

这里搜索lkq这个用户的时候，没有通过-b去指定用户所在的域和位置，而是指定端口3268说明使用GC进行搜索。如果将ldap://DC.TEST.ORG:3268换成ldap://DC.TEST.ORG:389，使用普通ldap搜索，函数就会执行失败。因为如果你不通过GC全局目录，Administrator根本不知道lkq在哪个域，又如何查看他的属性呢？

当你把3268和389两个端口都使用命令行执行出结果，你就能更加的理解GC他到底是个什么，而不是一个抽象的东西了。