AD用户同步的时候如何根据Group来过滤，例如只同步某个group下的用户

背景知识：

1. AD的树形结构是以OU和container作为节点的，在节点里可以创建用户（OP），而group本身不是一个容器，也不是节点，只是一个普通的对象，本质上跟用户是一样的。

2. 用户属于某个group是一种业务关系，并不是树形结构，对于AD里实际展现来说，这种关系是通过用户的属性memberOf来实现的，只不过一个用户可以有多个memberOf属性。

3. LDAP查询分两个部分，一个是查询的scope，这个属于指定树形结构的位置，比如我们常见的某个ou下的用户。 另一个是查询的filter，也就是过滤条件，意思是某个字段的值，用作过滤。

?

明白了以上3点，再来看这个需求就比较清楚了，首先group只是一个字段，所以scope仍然要选择目标的ou或者树根root，然后过滤条件里要过滤成只有memberOf里有某个group才取值。

假设group的值是CN=Administrators,CN=Builtin,DC=brocadesoft,DC=com

要实现这个功能，只需要再同步工具的过滤条件里填入

(memberOf=CN=Administrators,CN=Builtin,DC=brocadesoft,DC=com)

?

PS: 这里的括号代表是“AND”关系的条件。

?