问题标签 [active-directory-group]

在 Active Directory 中给定一个这样的组：

我可以使用如下代码轻松确定 User3 是否是 MainGroup 或其任何子组的成员：

我想知道是否有类似的方法来获取属于组或其任何子组的所有用户，即在 MainGroup 的示例中获取 User1、User2、User3 和 User4。

获取所有用户的明显方法是递归查询每个子组，但我想知道是否有更简单的方法来做到这一点。

对过滤器使用相同的方法memberOf:1.2.840.113556.1.4.1941:，但使用域根目录而不是用户作为搜索库是不可行的，因为查询花费的时间太长（可能它递归地计算域中所有用户的所有组成员资格并检查他们是否是给定组的成员）。

获取组的所有成员（包括其子组）的最佳方法是什么？

我写这个来获取特定用户所属的组：

如何检索 Windows 中的所有组，而不仅仅是针对特定用户？

在我的 Sharepoint 代码中，我通过以下方式显示所有已定义用户的列表：

最重要的是，我可以将域安全组添加到 Sharepoint 组（如访客），从而一次添加许多用户（更简单的管理）。但是我的代码至少在他们第一次登录（如果他们有足够的权限）之前不会看到这些用户。在这种情况下，我只能看到设置为 的域安全组SPUser对象实例。IsDomainGrouptrue

是否可以通过 Sharepoint 获取域组成员而不诉诸 Active Directory 查询（这是我宁愿避免的事情，因为您可能需要足够的权限来执行此类操作 = 更多管理：Sharepoint 权限 + AD 权限）。

我在通过 Active Directory 获取组时遇到问题System.DirectoryServices

最初我在域中注册的计算机上启动我的应用程序，但由于它是一个实时域，我不想对 AD 进行任何写入，所以我设置了一台以 Windows XP 作为主机操作系统的机器，并在虚拟机上安装了 windows server 2003。

我在机器中添加了另一个以太网端口并设置了一个交换机，1 个以太网端口专用于 VM，另一个端口用于主机。

在配置 IP 地址以使它们进行通信后，我将我的应用程序转移到主机上并启动它，但我得到了一个DirectoryServicesCOMException.

提示用户名和密码无效 :( 只是为了检查它不是活动目录，我创建了第三个虚拟机并安装了 Windows XP，我使用在 APP 中测试的凭据将其添加到域中，这是一种享受.

所以我认为这一定是因为运行应用程序的机器不是域的一部分。

这是导致问题的代码块：

登录对话框中的信息是这样输入的：

希望有人能对这个错误有所了解。

更新：

检查服务器上的安全日志后，我可以看到我的登录尝试成功，但这归结为：

我检查组之后的行导致错误，所以主要问题是下面的代码行在未加入网络的机器上无法正常工作：

我们有一个安全模块，它基于组/角色成员资格，控制对 ASP.Net 中资源的权限。我已经构建了一个自定义 ASP.Net 角色提供程序，它可以查询 Active Directory 的组成员身份，并且由该模块使用。

对于每个请求，安全检查的工作方式如下（出于性能原因在某些地方使用缓存，但不包括在此列表中）：

1. 查询 AD 以获取用户组成员身份列表
2. 查询数据库以获取有权访问所请求资源的用户和组的列表
3. 将 AD 的结果与数据库的结果进行比较。如果用户明确拥有权限，或者用户所在的组拥有权限，则允许访问，否则不允许。

当我们有嵌套组时，问题就出现了。假设我们有两个组：ParentGroup和ChildGroup，其中ChildGroup是 Active Directory 中 ParentGroup 的成员，而我们的用户是ChildGroup的成员。根据上面的逻辑，如果我们让ChildGroup访问资源，那么用户也可以访问该资源。

现在逻辑上（无论如何对我来说）如果我们让ParentGroup访问资源，那么它的所有成员，以及递归获取的任何子组及其成员，也应该能够访问所述资源。但是相反，由于我的逻辑工作方式，他们无法访问资源。上面列表中的第 1 步没有看到ParentGroup它只看到了ChildGroup，第 2 步只看到了 ParentGroup而没有看到ChildGroup。

所以问题是，为了让它发挥作用，我应该如何“逻辑地”描述它，我应该在哪里解决问题，是否有一些方法比另一种更好？

我有 2 个用户，一个在本地机器上，一个在域上。：user1&testdomain\user1

现在这两个用户都有不同的组

现在我希望显示这些组，我可以毫无问题地显示 的组，user1但我无法显示testdomain\user1.

我的代码如下。

其中完整用户名 = user1 和 testdomain\user1

有什么建议么？

我的任务是创建一个登录页面，允许两个特定组的成员访问 MVC 项目中的某些控制器和操作，我着手为 AD 创建一个角色提供程序。我设法让它配置了表单身份验证，并枚举了经过身份验证的用户在 AD 中所属的组。

然而，事实证明，我被要求为其设置的组不是 AD 组。我看到很多团体，但没有看到有问题的团体。

该请求是基于这些组出现在 Exchange 的全球通讯簿中的事实，但似乎没有 1:1 的关系。

有什么关系吗？

我真的有两个问题，都围绕同一个话题。

我需要能够创建一个平面文件并使用此文件将文件中列出的用户导入 Active Directory 中的特定组。它们已经存在于 AD 中，只是不在组中。

其次，我还需要能够使用类似的方法使用不同的平面文件从 AD 组中删除用户。

这可以做到吗？用户列表将有 100 多位，所以我真的不想手动操作....

尝试获取用户所属的所有组，包括主要组：

做这样的事情：

这给了我除主要组之外的所有组。除了其他组之外，有没有办法获得主要组名称？primaryGroupID

背景：我有一个 webForm 应用程序，它根据 Web 服务提供的信息在数据库中注册用户，自动生成随机密码和用户名，并通过电子邮件向用户发送一个链接以获取基于营销公司的应用程序选择。

问题：

• 如何使用当前登录的用户名填充 MarketerName_TextBox 字段（是 User.Identity.Name 吗？我是在 aspx.vb 端还是 aspx 端添加该行？）

这是前端的屏幕截图：

我一直在使用Wrox 的 Windows 身份验证教程中的代码，但对于我想要做的事情来说还不够彻底。

web.config 文件：

web.config 文件（仅显示相关代码）：

带有 txtMarketerName_TextChanged() 和 Page_Load() 方法的 default.aspx.vb 代码：

显示营销人员名称的文本框字段的 default.aspx 代码：

感谢您的关注！

如果您有任何有用的链接或建议，我会给您投票！