
TAC is saying that filtering on Group membership in multiple Domains is not possible. There is also a referance in the UCM 8x SRND that states that indicates its not supported. So the real problem how you import CM users with Active Directory forest that contain more than 5 domains? This seems to be a serious limitation for enterprise environments.<div>


<br></div><div><p class="MsoNormal">From the SRND:</p>


<p class="MsoNormal"> </p>


<p class="MsoNormal"><span style="font-size:10.0pt">A synchronization agreement

for a domain will not synchronize users outside of that domain nor within a

child domain because Unified CM does not follow AD referrals during the

synchronization process. The example in Figure 16-9 requires three

synchronization agreements to import all of the users. Although Search Base 1

specifies the root of the tree, it will not import users that exist in either

of the child domains. Its scope is only VSE.LAB, and separate agreements are

configured for the other two domains to import those users.</span></p>


<p class="MsoNormal"><span style="font-size:10.0pt"> </span></p><p class="MsoNormal"><span style="font-size:10.0pt"><br></span></p>Best Regards,<br><br>Mike Lydick<br><br><br>

<br><br><div class="gmail_quote">On Tue, Jan 18, 2011 at 10:27 AM, Paul <span dir="ltr"><<a href="mailto:asobihoudai@yahoo.com">asobihoudai@yahoo.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">


according to this URL<br>

<a href="http://www.petri.co.il/ldap_search_samples_for_windows_2003_and_exchange.htm" target="_blank">http://www.petri.co.il/ldap_search_samples_for_windows_2003_and_exchange.htm</a><br>

<br>

It certainly appears you can filter out users according to group membership in<br>

an LDAP filter.<br>

<br>

<br>

<br>

<br>

________________________________<br>

From:Mike Lydick <<a href="mailto:mike.lydick@gmail.com">mike.lydick@gmail.com</a>><br>

<a href="mailto:To%3Acisco-voip@puck.nether.net">To:cisco-voip@puck.nether.net</a><br>

Sent: Mon, January 17, 2011 7:46:51 PM<br>

Subject: [cisco-voip] UCM 8x. LDAP Filters with group members<br>

<div><div></div><div class="h5"><br>

<br>

Is it possible to use group membership as element in a LDAP filter?<br>

<br>

We are working with an AD LDAP forest that has 6 domains. We need to selectively<br>

<br>

import user from LDAP as we migrate to the cluster.<br>

<br>

The thought is to set the root path to the top level Domain OU, the use the ldap<br>

<br>

to filter on iphone=* and member of group. We will add members to this group<br>

with a script as we migrate.<br>

<br>

mike<br>

<br>

<br>

<br>

</div></div></blockquote></div><br></div>