问题标签 [active-directory]

堆栈溢出有几个与此类似的问题，但并不完全相同。

我想在 win xp 计算机上打开或创建一个本地组并向其添加成员、域、本地和知名帐户。我还想检查用户是否已经是会员，这样我就不会两次添加同一个帐户，并且可能会出现异常。

到目前为止，我开始将 DirectoryEntry 对象与WinNT://提供程序一起使用。一切正常，但我不知道如何获取组成员的列表？

有人知道怎么做吗？或者提供比使用 DirectoryEntry 更好的解决方案？

我应该使用什么设计模式来处理表单身份验证和活动目录？（管理设置将允许您选择其中之一）。

据我所知，.NET 会员提供者只有表格，对吗？

在我们的 TFS 源代码控制服务器上，很多源文件被人检出，不再使用。

有没有一种中央方式可以撤销对 TFS 中所有文件的签出？

我什至不确定它们是否存在于 Active Directory 中。

简而言之 - 如何将 NETBIOS 域转换为 FQDN？

详细信息：假设我在域 A 中，并且我有域 B 的用户凭据，它与域 A 有信任关系（我可以验证凭据）。当我只有来自该域的一些经过身份验证的用户的凭据（包括 netbios 域名）时，如何获取域 B 的 FQDN？

我正在使用 C# 进行编码，但也欢迎使用 COM/WMI/Win32 解决方案。

是否可以在 Active Directory 域中复制选定对象（帐户）。我们需要通过防火墙将选定的帐户复制到位于 DMZ 中的 DC。我们不想将所有帐户复制到这台机器上，以防它被入侵。

任何建议、帮助或产品建议最受赞赏。

我创建了 ac# webservice，它允许我们的前端支持团队使用 system.directoryservices 查看和更新​​一些选定的 Active Directory 值

我要更新的字段是 [职位] 职务、部门、电话和员工 ID。

我可以使用具有“代表权限”的服务帐户来更新 [职位] 职位、部门、电话等，但是当我尝试更新员工 ID 时，我收到“未授权”错误消息。

如果我使用域管理员帐户，那么相同的代码可以正常工作。

我不想为此 Web 服务使用域管理员帐户，那么我需要什么权限？

我们有一个使用服务帐户和细粒度表的内部应用程序，并且字段控制由应用程序中的权限表控制。

如果我们想在 Active Directory 中使用传递安全性，我们会遇到一个问题，即具有 odbc 访问权限的用户可以修改应用程序中存在的业务规则之外的表。

有没有办法启用直通安全性，但禁用 odbc 访问。

如果公司经常要求在合作伙伴的活动目录中创建用户，反之亦然，那么在 AD 实例之间建立联合/信任关系是否有意义？如果是这样，应该考虑什么？合作伙伴 AD 中用户的 ACL 是否仍以相同方式工作？这会暴露哪些安全风险？

谢谢！

K A

更新：

我了解到，通过让应用程序本身检查用户存储，有一种更好的方法可以做到这一点。最好的方法是将应用程序移动到两个用户存储都信任的域中。我在下面的答案中提供了更多详细信息。

UDDI用于在 Internet 上定位服务。在公司或企业环境中定位服务有什么类似的吗？例如，我可能希望我的程序能够在没有配置的情况下找到中央报告或策略服务器。这是我可以用 Active Directory 做的事情吗？还是我需要做其他事情？

我正在编写一个链接到 Active Directory 的应用程序，我需要将 userPrincipalName 存储在数据库表中，但我不知道该字段需要多大。

在 MSDN 上，没有给出长度，在RFC 822中也没有。现在，在我恢复到具有定义长度（sAMAccountName小于 20 个字符，NETBIOS 域名最大为 15 个字符）的 DOMAIN\Username 之前，我想知道是否有人知道标准或实现的限制是什么在 Windows 2003 和 Windows 2008 域中。