我正在编写一个应用程序来管理 AD 权限组。但是,一些需要的字段,如“主要所有者”、“次要所有者”、“审查日期”和历史日志不在 AD 中。我计划有一个单独的 SQL Server 数据库来保存这些数据并使用组的系统 ID加入数据。
我的问题是:我可以让 SQL Server 数据库在 AD 更改时与 AD 中的内容同步吗?也许存在一些听力工具?可以使用 LDAP 来解决这个问题吗?
如果数据库每晚更新可能会出现一个问题,如果在 AD 中创建了一个新组,则需要为其分配主要和次要所有者,但新组的 SID 不会立即在 SQL Server 数据库中。
我对 SQL Server 不熟悉,因此无法判断它是否具有与 AD 同步的特殊功能。
我所知道的是,如果您想使用 LDAP 跟踪 AD 中的更改,有几种不同的解决方案。您可以在这篇MSDN 文章中找到可用技术的概述。
我最近开源了ADSync4J,这是一个小型 Java 库,可以帮助您实现该文章中提到的第三种技术(使用 USNChanged 轮询更改)。但是,如果您的目标平台不是 JVM,它不会有太大帮助。
我们使用一个用 C# 编写的控制台应用程序,它在批处理上运行以读取 AD 信息并将其插入到 SQL 表中。这几乎可以用任何具有 LDAP 绑定的语言来完成,但取决于您的 AD 目录的大小,这可能会影响性能。
似乎确实有一种方法可以直接使用 SQL 进行查询(尽管有一些警告,即最大结果集大小和不支持多值参数)。许多文章都来自快速的谷歌搜索,例如;https://www.mssqltips.com/sqlservertip/2580/querying-active-directory-data-from-sql-server/