• ich hab nen benutzer den ich an nem server anmelde

Wie wird denn der Benutzer angemeldet? Vermutung: Windows(-Domain)-Login?

• der benutzer hat keinen direkten zugriff auf dateien, sondern über bestimmte benutzergruppen, denen er zugeordnet ist, kann er drauf zugreifen

Es ist eigentlich üblich das nicht direkt Benutzer im FileSystem eingetragen werden, sondern Gruppen, in denen dann die Benutzer eingetragen sind. Diese Gruppen unterscheiden sich in (rechner-)lokale Gruppen und "Active Directory" Gruppen (dort gibt es dann domain-lokale, globale und universale Gruppen).

• ich bekomme per ldap alle benutzergruppen des benutzers

Also vermute ich mal das Du die Active Directory Gruppen per LDAP bekommst. Nun mußt Du nur noch überprüfen ob eine (oder auch mehr) dieser LDAP AD-Gruppen als Mitglied einer der Gruppen auf dem FileSystem ist -> Der Benutzer hat die Rechter dieser Gruppe(n).
Aber: Es gibt auch so was wie "negativen" Zugriff, d.h. wenn ein Benutzer Mitglied in einer Gruppe ist, die im Rechte einräumt kann dieser die Rechte über die Mitgliedschaft in einer anderen Gruppe (die den Zugriff verbietet) verlieren.

ich bin als dieser benutzer angemeldet, kann eigentlich alles im system lesen, was wohl damit zusammenhängt, dass die benutzergruppe des users "Domänen-Admins" ist.

Als Domain-Admin hat der Benutzer normalerweise sehr viel Rechte auf dem Rechner, da er vmtl. in der lokalen "Administrators" Gruppe Mitglied ist.

aber das ist keine benutzergruppe, die ich durch win32::FileSecurity auslesen kann.

Richtig, "Domain-Admins" ist keine lokale Gruppe auf dem Rechner, sondern eine Active Directory Gruppe.

wenn ich dich jetzt richtig verstehe, dann soll ich das jetzt rekursiv weitermachen, weil "Domänen-Admins" wohl auch in einer anderen Gruppe ist?

Genau, ich vermute mind. in der lokalen Administrators Gruppe. Ggf. auch noch viel mehr ...

brauch ich dazu nen neuen filter? weil Domänen-Admins ist kein benutzer und wird natürlich nicht gefunden..

Ja.

also vielleicht objectCategory=group????

Schau Dir mal das Schema des Active Directory an. Dort findest Du alle Attribute die via LDAP abgefragt werden können. Damit solltest Du die Filter zusammenbauen können.

mfg
HADI