我希望得到一个用户在Active Directory中成为其成员的所有组的列表,这两个组都明确列在memberOf属性列表中,也隐式通过嵌套组成员身份列出.例如,如果我检查UserA并且UserA是GroupA和GroupB的一部分,我还想列出GroupC,如果GroupB是GroupC的成员.
为了让您更深入地了解我的应用程序,我将在有限的基础上进行此操作.基本上,我偶尔会想要进行安全检查,以便列出这些额外的会员资格.我想区分这两者,但这应该不难.
我的问题是我没有找到一种有效的方法来使这个查询工作.Active Directory上的标准文本(此CodeProject文章)显示了一种基本上是递归查找的方法.这似乎非常低效.即使在我的小域中,用户也可能拥有30多个组成员资格.这意味着为一个用户调用30多个Active Directory.
我查看了以下LDAP代码,以便一次获取所有memberOf条目:
(memberOf:1.2.840.113556.1.4.1941:={0})
其中{0}将是我的LDAP路径(例如:CN = UserA,OU = Users,DC = foo,DC = org).但是,它不会返回任何记录.这种方法的缺点,即使它起作用,也就是我不知道哪个组是明确的,哪个是隐含的.
这就是我到目前为止所拥有的.我想知道是否有比CodeProject文章更好的方法,如果有的话,如何实现(实际代码将是美好的).我使用的是.NET 4.0和C#.我的Active Directory处于Windows 2008功能级别(它还不是R2).
如何将Active Directory LDAP查询过滤到包含经过身份验证/绑定的用户(或任何用户)的组?这很好用:
(&(objectClass=group)(member=*))
>>> lots of results
但我不能再详细说明了:
(&(objectClass=group)(member=*S*))
>>> nothing
MSDN提到使用这样的过滤器:
(member:1.2.840.113556.1.4.1941:=(cn=user1,cn=users,DC=x))
但即使忽略了涉及的疯狂超幻数,当我尝试用它过滤时,我总是得到0结果(甚至用cn=user1,cn=users,DC=x我自己的distinguishedName替换,甚至替换它*).