1

我有一个 Intranet ASP.NET MVC3 Web 应用程序,它使用带有 .NET Framework 4 的 Windows 身份验证。我的所有代码都在对用户进行身份验证。我将 Windows 身份验证用于基线身份验证,然后将 Active Directory 用户链接到 SQL Server 2008 中表中的用户,以获得特定于我的应用程序的其他用户属性。所有这些工作正常。

在网站的某个部分,管理员可以选择 Active Directory 用户以添加到 SQL 用户表(见上文)并输入他们的网站特定属性(IsAdmin、ShoeSize 等)。在此屏幕上,我填充了一个下拉列表,用于从我创建的自定义对象中检索所有 Active Directory,该对象仅包含 Active Directory 用户的用户名和全名属性。这是此代码:

            public IQueryable<ActiveDirectoryUser> ActiveDirectoryUsers
            {
                get
                {
                    // get list of users in the Active Directory
                    DirectoryEntry dirEntry = new DirectoryEntry("WinNT://" + Environment.UserDomainName);
                    List<DirectoryEntry> activeDirectoryUsers = dirEntry.Children.Cast<DirectoryEntry>()
                        .Where(c => c.SchemaClassName == "User").ToList();

                    // populate a custom class I have to hold the active directory user's username and full name property values
                    return activeDirectoryUsers
                        .Where(u => !string.IsNullOrEmpty(u.Properties["FullName"].Value.ToString()))
                        .Select(u => new ActiveDirectoryUser()
                        {
                            NetworkId = String.Format(@"{0}\{1}", Environment.UserDomainName, u.Properties["Name"].Value),
                            FullName = u.Properties["FullName"].Value.ToString()
                        }).AsQueryable();
                }
            }

出于某种原因,当 Web 应用程序部署到 IIS 7 时,此代码不会返回任何结果。但是,当在 Visual Studio 中从 IIS Express 运行站点时,这可以完美运行。关于为什么会发生这种情况的任何想法?我一直在寻找 IIS 设置作为罪魁祸首,但没有发现任何有用的东西。我是否需要更改检索 Active Directory 用户的方式?谢谢!

4

2 回答 2

2

这个问题最终是 Eric J. 答案的组合,以及我获取 Active Directory 条目的代码的更改。我发现 DirectoryEntry 方法可以重载以获取用户名和密码以用于权限(例如,您不必依赖 IIS 运行的任何帐户。这是代码:

               List<SearchResult> searchResults;

                // use login account to access active directory (otherwise it will use the IIS user account, which does not have permissions)
                using (DirectoryEntry root = new DirectoryEntry("LDAP://CN=Users,DC=test,DC=example,DC=com", "usernameCredential", "passwordCredential"))
                using (DirectorySearcher searcher = new DirectorySearcher(root, "(&amp;(objectCategory=person)(objectClass=user))"))
                using (SearchResultCollection results = searcher.FindAll())
                {
                    searchResults = results.Cast<SearchResult>().ToList();
                }

                // get the active directory users name and username
                return searchResults
                    .Select(u => new ActiveDirectoryUser()
                    {
                        NetworkId = String.Format(@"{0}\{1}", this._domainName, u.Properties["sAMAccountName"][0]),
                        FullName = (string) u.Properties["cn"][0]
                    }).AsQueryable();

这允许我获取 Active Directory 条目,但只有那些是用户和人员对象。然后我使用 LINQ 将其映射到我的自定义模型。

于 2013-02-23T02:18:53.383 回答
1

在 Visual Studio 下的 IIS Express 中运行时,您拥有比在 IIS 7 的默认安全上下文中运行更高的权限集。

您必须准确了解以这种方式查询 Active Directory 所需的权限,并确保您的应用在 IIS 7 下运行的应用程序池具有该权限。请注意授予此操作所需的权限,并确保在继续之前仔细查看授予这些权限的含义。

于 2013-02-14T21:22:20.970 回答