0

我有一个在 C# 中使用Windows 身份验证的 Web 应用程序,目前我将用户单独分配给角色。

例如,在应用程序的每一页,我都会检查

if(Roles.IsUserInRole(AU\UserName, "PageAccessRole"))

由于我需要在本周将应用程序推广到整个团队(最终是整个公司),我需要使用 AD 组,因为有超过 3000 人,所以我不打算手动进行!

作为 ASP.NET(以及一般编程)的新手,我真的不太了解设置 AD 组(例如,如何从我的应用程序访问 AD 组等?)

如果有人能指出我正确的方向,我将不胜感激……我一直在阅读有关LDAPSystem.DirectoryServices.AccountManagement等的所有信息,但我越来越困惑了。

到目前为止,我的 web.config 中有这个

  <authentication mode="Windows">
  </authentication>
  <authorization> 
              <allow roles="AU\Active Directory Group Name"/>
    <deny users="?"/>
  </authorization>

  <roleManager enabled="true" >
    <providers>
    <clear/>
    <add name="AspNetWindowsTokenRoleProvider" type="System.Web.Security.WindowsTokenRoleProvider" applicationName="/" />
      </providers>

而且我在 IIS 服务器中启用了 Windows 身份验证并禁用了匿名。

请帮忙!!

4

1 回答 1

1

解决方案:-

这是您可以从 AD 中的 OU 获取组的方法

DataTable dt = new DataTable();
dt.Columns.Add("groups");
DirectoryEntry rootDSE = null;

假设我想从我的部门 OU 获取记录。现在路径会是这样

部门-->>用户

这里的dc是域控制器名称,在我的例子中是Corp.Local
这样你就可以从你的 AD 中获取组

if (department != "")
{
   rootDSE = new DirectoryEntry(
     "LDAP://OU=" + department + ",OU=Users,dc=corp,dc=local", username, password);
}
else
{
   rootDSE = new DirectoryEntry(
      "LDAP://OU=Users,OU=" + ou + ",dc=corp,dc=local", username, password);
}
DirectorySearcher ouSearch = new DirectorySearcher(rootDSE);
ouSearch.PageSize = 1001;
ouSearch.Filter = "(objectClass=group)";
ouSearch.SearchScope = SearchScope.Subtree;
ouSearch.PropertiesToLoad.Add("name");
SearchResultCollection allOUS = ouSearch.FindAll();
foreach (SearchResult oneResult in allOUS)
{
    dt.Rows.Add(oneResult.Properties["name"][0].ToString());
}
rootDSE.Dispose();
return dt;

现在如何将用户添加到组中。

这是单个用户的示例,您可以通过循环用户以类似的方式执行此操作。

 PrincipalContext pr = new PrincipalContext(ContextType.Domain,
     "corp.local", "dc=corp,dc=local", username, password);
GroupPrincipal group = GroupPrincipal.FindByIdentity(pr, groupName);//Looking for the Group in AD Server

if (group == null)
  {
     //Throw Exception
  }

UserPrincipal user = UserPrincipal.FindByIdentity(pr, userName);//Looking  for the User in AD Server

if (user.IsMemberOf(group))//If Group is already added to the user
   {
       //I have Put it into If else condition because in case you want to Remove Groups from that User you can write your Logic here.

     //Do Nothing, Because the group is already added to the user
   }
 else// Group not found in the Current user,Add it
   {
      if (user != null & group != null)
       {
         group.Members.Add(user);
         group.Save();
         done = user.IsMemberOf(group);//You can confirm it from here
        }
   }
     pr.Dispose();
     return done;
于 2012-09-19T09:03:25.763 回答