c# - 为什么 UserPrincipal.Enabled 返回不同的值？

Question

我正在尝试确定是否启用了 AD 中的用户帐户。为此，我使用以下代码：

string domain = "my domain";
string group = "my security group";
string ou = "my OU";

//init context
using (var cnt= new PrincipalContext(ContextType.Domain, domain))
{
    //find the necessary security group
    using (GroupPrincipal mainGroup 
              = GroupPrincipal.FindByIdentity(cnt, IdentityType.Guid, group))
    {
        if (mainGroup != null)
        {
            //get the group's members
            foreach (var user in mainGroup.GetMembers()
                                   .OfType<UserPrincipal>()
                                   .Where(u => u.DistinguishedName.Contains(ou)))
            {
                //ensure that all the info about the account is loaded
                //by using FindByIdentity as opposed to GetMembers
                var tmpUser= UserPrincipal.FindByIdentity(cnt, 
                                                          user.SamAccountName);
                //actually I could use `user` variable, 
                //as it gave the same result as `tmpUser`.

                //print the account info
                Console.WriteLine(tmpUser.Name + "\t" + 
                                  tmpUser.Enabled.HasValue + "\t" + 
                                  tmpUser.Enabled.Value);                    
            }
        }
    }
}

问题是，当我在管理帐户下运行此代码时，我得到了真正的结果，而当我在非特权帐户下运行它时，会user.Enabled返回false一些帐户，而应该是true.

我设法找到的唯一类似的问答是

1. 对于实际上已启用的帐户，UserPrincipal.Enabled 返回 False？
2. 通过 C#.NET 3.5 在 Active Directory 中的所有内容（使用 System.DirectoryServices.AccountManagement）

这在这里没有帮助。

为什么呢？我有哪些选择可以在非特权帐户下获取此信息？

---

这是另一种方法：如何确定用户帐户是启用还是禁用：

private bool IsActive(DirectoryEntry de)
{
    if (de.NativeGuid == null) 
        return false;

    int flags = (int)de.Properties["userAccountControl"].Value;

    if (!Convert.ToBoolean(flags & 0x0002)) 
        return true; 
    else 
        return false;
}

Active Directory 对象和 C#中描述了相同的方法。

但是，当在非特权用户帐户下运行时，userAccountControl属性是null并且无法确定帐户的状态。

---

此处的解决方法是使用PrincipalContext Constructor，指定具有足够权限访问 AD 的用户的凭据。

我仍然不清楚，为什么非特权用户可以访问 AD，并且无法获取某些帐户属性的值。可能这和C#无关，应该在AD中配置...

Answer 1

您需要在 Active Directory 中为将执行 AD 查询的帐户委派权限。这是我必须为我的应用程序工作所做的事情（尽管我们正在对用户帐户执行其他管理任务）。

在这里查看有关如何委派权限的说明（或参见下面的块引用）。

您可以参考以下程序来运行委托：

• 通过执行以下步骤启动控制委派向导：
  • 打开 Active Directory 用户和计算机。
  • 在控制台树中，双击域节点。
  • 在详细信息菜单中，右键单击组织单元，单击委派控制，然后单击下一步。
  • 选择您要向其委派常见管理任务的用户或组。为此，请执行以下步骤：
  • 在用户或组页面上，单击添加。
  • 在选择用户、计算机或组中，写下您必须向其委派组织单位控制权的用户和组的名称，然后单击确定。然后点击下一步。
  • 将常见任务分配给委派。为此，请执行以下常见任务。
  • 在要委托的任务页面上，单击委托以下常见任务。
  • 在要委派的任务页面上，选择要委派的任务，然后单击“确定”。点击完成

例如：要委托管理员移动用户/计算机对象，您可以在 AD 用户和计算机中使用高级模式并运行委托。对于移动的对象，它应该在两个 OU 中都具有写入权限。为了写入新值，管理员帐户应该在用户帐户上具有委托值（特定 OU 中的完全权限也是如此。

其他值得研究的是帐户是否具有 userAccountControl 属性。我听说缺少此属性的帐户可能无法正确报告。在大多数情况下，此属性应设置为 NormalAccount。