是否允许使用带空格的分号作为 Active Directory DirectoryString 属性值的分隔符？

我认为多值属性没有分隔符或分隔符。

如果您使用 ldif 文件导入或导出数据，格式如下所示：

dn: dc=example,dc=com
objectClass: top
objectClass: domain
dc: example
description: This is the first description value
description: This is the second description value

如果我使用标准 dsquery 工具查询我的帐户，我也会得到这种格式

dsquery * "cn=my user name,ou=whatever,dc=sub,dc=domain,dc=tld" -scope base -attr * | findstr /i 
proxyAddresses: smtp:[email protected]
proxyAddresses: SMTP: [email protected]
...

在 linux 主机上使用 ldapsearch 可以得到相同的 ldif 格式。所以我的猜测是应用程序没有正确解析过滤器的结果，它应该循环遍历返回的值列表。如果没有，那么在我看来，他们的代码中存在错误。

根据msdn的 Proxy-Addresses 属性不是单值的，它的语法是string unicode。另外，msdn 有一个关于单值和多值属性msdn之间差异的小条目，但它没有说明任何关于分隔符或格式的内容（只是条目可能不是空的）。

从查询的角度来看，分隔符实际上只是一个用于呈现数据的装饰性显示选项。不同的工具将以不同的方式显示多个值。确保您在两种环境中使用相同版本的同一工具。

中的attributes选项卡DSA.MSC使用带空格的分号，但打开该属性以使用 DSA 进行编辑，您会得到一个列表，其中每个属性都位于新行上。您可以查询和显示的其他一些方法：CSVDE将生成一个使用分号的文件。Get-Aduser将在一般查询中使用“，”，但在展开属性时使用换行符。

csvde -r "(samaccountname=roadRunner)" -f this.csv -l proxyaddresses
get-aduser -ldapfilter "(samaccountname=roadRunner)" -prop proxyaddresses
(get-aduser -ldapfilter "(samaccountname=roadRunner)" -prop proxyaddresses).proxyaddresses

当您运行相同的查询时是否找到了用户？get-aduser -ldapfilter "(&(objectClass=user)(proxyAddresses=SMTP:[email protected]))"