问题标签 [activedirectorymembership]

我想知道在 AD 中配置的 MinRequiredPasswordLength。因为当我调试时：

它总是返回“7”，在 AD 中它被配置为 8。我知道这个属性可以从 web.config 更改（我没有指定它），但我想从 AD 中恢复它。

谢谢。

首先，我是 AD 的新手；我知道如何设置基本域，仅此而已。

我正在为一些 Windows 应用程序运行托管服务。用户权限基于 Active Directory 安全组。

假设我有Contoso.local我的森林 - NetBIOS 名称是CONTOSO. 我想提供一个 SaaS，客户可以在其中将他们的 Active Directory 用户和/或组同步到我的 AD，同时保留他们自己的 NetBIOS 名称。例如，如果我有一个客户，他在全球某个地方被命名为 Acme，他们的林域是Acme.local，他们的 NetBIOS 名称是ACME，那么我希望 John Doe 能够登录到我的 SaaS，ACME\John.Doe而不是我必须管理所有我的客户的用户并要求 John 以CONTOSO\John.Doe. 这里的想法是白色标签。

马上，您可能会想到AD FS，但我的 SaaS 不支持联合服务。

我可以在我的网络上设置另一个域控制器来复制我的客户端，但这似乎有点过头了。而且，我不知道如何做到这一点。

我的 AD 是否无法简单地同步和/或针对另一个域的用户和组进行身份验证？（我也需要组，因为根据安全角色，用户可以访问特定信息。）我可以设置信任或 LDS 来完成此操作吗？

如果是，或者如果不是，请提供建议。一些操作方法也将不胜感激！

谢谢，约书亚

I'm searching for a solution for adding a user account to a security group or to a distribution list in Active Directory but with a membership start and end date. We are managing the AD through a 3rd party console called Quest Active Roles console and this can add a user temporary to a security group but i have to do this from a .NET application. As i can see the .NET directory services can not do this.

Any idea?

我正在尝试实现 ActiveDirectoryMembership 提供程序，以便可以对活动目录使用表单身份验证。

我可以浏览到应用程序，并被重定向到登录页面。如果我输入错误的密码，我会得到正确的错误。如果我输入正确的密码，它会将我重定向到默认 URL (/Secure/Default.aspx)，但会立即重定向回登录页面。我可以看到两个重定向，因为我使用的是提琴手。所以我确定它正在正确地针对 AD 进行身份验证，但仍将我带回登录页面。我也知道浏览器确实接受 cookie，因为我在应用程序中构建了一个测试页面来证明这一点。我已经在下面包含了 web.config 和相关代码，只是无法弄清楚我错过了什么......

编辑： 我发现如果我指定 UseUri 而不是 UseCookies，一切都会开始工作。但是我已经验证了我可以将数据存储在一个页面上的 cookie 中，并在另一个页面上检索它，那么为什么它不适用于身份验证部分呢？

编辑 2 我还从登录页面中删除了我的代码并使用了标准登录控件，同样的问题。

Web.config 文件：

登录页面：

是否可以判断用户在过去的给定日期是否是某个组的成员？

我正在尝试将 ActiveDirectoryMembershipProvider 与 MVC 4 和 AD LDS 一起使用进行身份验证。使用关于此事的许多帖子，我设法让服务器连接到 AD 服务器并尝试对用户进行身份验证，但这种身份验证似乎总是失败（即使我知道它是一个有效用户）。我们有一个域（比如 DC=foo,DC=bar,DC=us），我们的用户在该域下按组进行组织。例如，我们有 OU=someGroup,DC=foo,DC=bar,DC=us，在其下我们有 CN=someUser,OU=someGroup,DC=foo,DC=bar,DC=us。我尝试使用 someUser@foo.bar.us、someUser@someGroup.foo.bar.us 和 someUser 登录，结果相同。

1. 我怎样才能让这个用户进行身份验证？
2. 有没有办法修改登录以通过uid全局搜索？cn?

Mythgarr 的回应固定了第一部分，但仍然不确定第二部分。

我正在使用 C# ASP.NET 开发一个 MVC2 应用程序。

在我的应用程序中，我使用 ActiveDirectoryMembershipProvider 进行用户身份验证。下面是我的 web.config 文件的片段。

如果我在连接字符串中使用全局编录端口 3268，则会收到错误“GC 端口上的 LDAP 连接不支持 Active Directory”。我对此错误消息进行了谷歌搜索，但无法找到合适的解决方案。许多人建议使用端口 389，有些人建议更改代码。但我希望能够使用 GC 端口让用户连接到不同的森林，因为它更干净。

一些观察：

• 相同的连接字符串（使用端口 3268）在我公司 i 的其他应用程序中运行良好。
• 当我将连接字符串更改为指向端口 389 时，它可以完美运行，即属于本地域的人能够登录。但是来自另一个域的人不能。
• 我在我的 AcconuntModel 和 AccountController 中放置了断点。连接字符串指向端口 3268，Membership.Provider 抛出“ConfigurationErrorsException”。

如果有人可以帮助我解决此问题，那将非常有帮助。

网络配置：

我设法编写了一个自定义成员资格提供程序，它将 Active Directory 与 SQL Server 上的某些功能混合在一起。大约一个月以来，当我调用“UserPrincipal.FindByIdentity”从 AD 检索一些用户信息时，我承认使用这个工具响应时间很慢。每个 SamAccountName 的响应时间大约为 5 秒，这里我们说的是大约 30 个 AD 用户。

尽管如此，登录时间很快，角色查询也不错（不是很快，但可以忍受）。

域控制器和 Web 服务器在防火墙上启用了正确的端口（尽管 Web 服务器位于 DMZ 中），没有明显的延迟。

DNS 解析在所有网络中都很快。

有人遇到过类似的问题吗？

在此先感谢，V。

如果我使用活动目录作为用户存储，我如何将数据库中的信息与特定用户相关联？我应该在对它们进行身份验证后将它们插入数据库（这对我来说似乎是多余的）还是仅将广告成员资格提供程序用于身份验证并且我应该使用 SQL 成员资格提供程序？

我正在尝试删除帐户已被禁用但不确定如何正确组合 cmdlet 的用户列表的 AD 组成员身份。这是我的尝试...

users.csv（文件内容如下）

我收到以下消息...