那些遇到过的问题

在Active Directory中查找域名

Sea*_*ger 8 dns active-directory

我正在运行一个ASP.NET 4.0应用程序,它使用用户名(即HttpContext.Current.Request.LogonUserIdentity.Name.ToString())来管理对各种组件的访问.

返回的用户名的格式为"ABC\jsmith的",其中"ABC"是域名和"JSMITH"是用户的登录名.

此应用程序的安全模块的一部分访问该用户所属的Active Directory组来(例如,"会计学","应付账款","AdminDepartment").我可以使用DirectoryEntry.Properties(即System.DirectoryServices.PropertyCollection")"sAMAccountName".Value从Active Directory获取用户名.

到目前为止,一切都很好,但我希望能够跨多个域扩展应用程序,这意味着我需要能够在Active Directory中找到域名以及用户的登录名.我可以从PrincipalContext获取"域"值,但它返回"abcdc",而不是"abc".我是否可以假设此属性将始终在每个域的末尾返回"dc"(如在"域控制器"中)(在这种情况下,我可以使用属性的子字符串),或者在其他地方我可以获得用户的目前的域名?

Jas*_*son 5

我不清楚的一件事是你在域控制器中给出一个目录条件检索域名的问题.我假设您有一个可以看到多个受信任域的服务器,并且用户可以从其中任何一个登录到您的应用程序,这样您就不知道您需要测试角色成员资格所需的域.

要通过ADGroup成员身份控制对功能的访问,您可以使用 

HttpContext.Current.User.IsInRole("appdomain\groupname")
Run Code Online (Sandbox Code Playgroud)

User.Identity.Name =="userdomain\user".我不熟悉域信任问题,但这假设您可以将受信任域中的用户添加到您控制的域组中,这样您就不必担心组域位置.

如果你不能,或者你在每个不同的域中拥有相同的组名,那么你可以做这样的事情吗? 

HttpContext.Current.User.IsInRole(userDomainname + "\groupname")
Run Code Online (Sandbox Code Playgroud)

一些要点:

  1. 除非您已经拥有大型已建立的AD代码库,否则我建议您使用System.DirectoryServices.AccountManagement命名空间中的对象.
  2. 我强烈推荐来自Sysinternals 的ADExplorer实用程序来获取域的更多LDAP视图,这有助于LDAP连接字符串和目录编程.
  3. 如果您对interop感到满意,并且需要执行任何LDAP连接字符串解析,请查看此站点.
  4. System.DirectoryServices.AccountManagement.PrincipalContext.Container和System.DirectoryServices.DirectoryEntry.Path属性返回LDAP连接字符串w /字符串末尾的域(即DC = mycompany,DC = com)
  5. 不要忘记可靠的旧Environment.UserDomainName和Environment.UserName(它从当前正在执行的线程中获取WindowsPrincipal;请参阅表1:线程暴露的CurrentPrincipal对象 @ http://msdn.microsoft.com/en-us/library/ Aa480475.aspx是关于当前用户在asp.net运行时内的一个很好的表.)

**更新6/8/2011 2:15 PM**

如果我正确理解AD,则用户的域是AD返回的用户对象的组成部分.扩展你的"Bob Newaccountant"的例子......

因此,鉴于以下2个域之间存在信任:

1. "abcdc.com"
    CN=Users
        CN="Bob NewAccountant"
2. "abc.com"
    CN=Users
        CN="Local User1"
    OU=Applications
        OU=MyApplication
            CN=ReportReaders (Members: abcdc\BNewAccountant, abc\luser1)
Run Code Online (Sandbox Code Playgroud)

您应该根据以下查询获取用户的信息:

//name parameter = domain
//container parameter = distinguished name
using(var ctx = new PrincipalContext(
                     ContextType.Domain,
                     name: "abc.com",
                     container: "OU=MyApplication,OU=Applications,DC=abc,DC=com",
                     "abc\serviceaccountname",
                     "Password1"))
{
    var officeGroup = GroupPrincipal.FindByIdentity(ctx,
                                     IdentityType.SamAccountName,
                                     "ReportReaders");

    foreach(Principal prin in officeGroup.GetMembers(recursive: true))
    {
        Console.WriteLine("DistinguishedName: " + prin.DistinguishedName 
            + " UPN: " + prin.UserPrincipalName);
    }
    //Should result in
    //  DistinguishedName: CN=luser1,CN=Users,DC=abc,DC=com UPN: luser1@abc.com
    //  DistinguishedName: CN=BNewAccountant,CN=Users,DC=abcdc,DC=com UPN: BNewAccountant@abcdc.com
}
Run Code Online (Sandbox Code Playgroud)

因此,您应该能够通过active Directory的distinguishedNameuserPrincipalName属性获取用户的域.(注意:我没有方便的双域设置,因此我目前无法测试上述代码.)这是否越来越近了?

归档时间:

查看次数:

12443 次

最近记录:

14 年,4 月 前
相关归档
gRPC客户端负载均衡 17
subdomain.domain.com区域文件中的"@ IN CNAME" 需要A记录,但随后在重复别名时出错 8
从asp.net获取验证AD用户objectGuid 7
docker 登录问题 - 等待连接时请求被取消 7
在 Active Directory 中执行 LDAP 查询的最低安全权限 5
从powershell中的字符串中删除数字 5
.NET:为什么这个域无法解析? 4
LDAP的Java客户端 4
TXT 记录中出现奇怪的空格 3
System.DirectoryServices.AccountManagement.NoMatchingPrincipalException:枚举组时发生错误.找不到这个小组 3
难疑归档
使用Git将最近的提交移动到新分支 4647
如何更改远程Git存储库的URI(URL)? 3529
什么是MVP和MVC,有什么区别? 2081
如何将列表拆分为大小均匀的块? 2068
带请求正文的HTTP GET 1896
JavaScript检查变量是否存在(定义/初始化) 1642
<button>与<input type ="button"/>.哪个用? 1588
使用JavaScript/jQuery滚动到页面顶部? 1511
Git diff对付藏匿处 1265
如何删除重复的行? 1254