Подтвердить что ты не робот

Как определить все группы, к которым принадлежит пользователь (включая вложенные группы) в ActiveDirectory и .NET 3.5

У меня есть приложение, которое использует авторизацию ActiveDirecotry, и было решено, что ему необходимо поддерживать вложенные группы AD, например:

MAIN_AD_GROUP
     |
     |-> SUB_GROUP
              | 
              |-> User

Таким образом, пользователь не является непосредственно членом MAIN_AD_GROUP. Я хотел бы иметь возможность искать пользователя рекурсивно, поиск групп, вложенных в MAIN_AD_GROUP.

Основная проблема заключается в том, что я использую .NET 3.5 и есть ошибка в System.DirectoryServices.AccountManagement в .NET 3.5, в которой метод UserPrincipal.IsMemberOf() не будет работать для групп с более 1500 пользователей. Поэтому я не могу использовать UserPrincipal.IsMemberOf() и нет, я не могу переключиться на .NET 4.

Я работал над этой последней проблемой со следующей функцией:

private bool IsMember(Principal userPrincipal, Principal groupPrincipal)
{
    using (var groups = userPrincipal.GetGroups())
    {
        var isMember = groups.Any(g => 
            g.DistinguishedName == groupPrincipal.DistinguishedName);
        return isMember;
    }
}

Но userPrincipal.GetGroups() возвращает только те группы, членом которых является прямой член.

Как я могу заставить это работать с вложенными группами?

4b9b3361

ОТВЕТЫ

Ответ 1

Обходной путь №1

Эта ошибка сообщается здесь, в Microsoft Connect, а также следующий код, который работает вокруг этой проблемы, путем ручной итерации через возвращаемые объекты PrincipalSearchResult<Principal>, перехватывая это исключение и продолжая:

PrincipalSearchResult<Principal> groups = user.GetAuthorizationGroups();
var iterGroup = groups.GetEnumerator();
using (iterGroup)
{
    while (iterGroup.MoveNext())
    {
        try
        {
            Principal p = iterGroup.Current;
            Console.WriteLine(p.Name);
        }
        catch (NoMatchingPrincipalException pex)
        {
            continue;
        }
    }
}

Обходной путь №2

Другое обходное решение найденное здесь, позволяет избежать класса AccountManagement и вместо этого использует API System.DirectoryServices:

using System;  
using System.Collections.Generic;  
using System.Linq;  
using System.Text;  
using System.DirectoryServices;  

namespace GetGroupsForADUser  
{  
    class Program  
    {  
        static void Main(string[] args)  
        {  
            String username = "Gabriel";  

            List<string> userNestedMembership = new List<string>();  

            DirectoryEntry domainConnection = new DirectoryEntry(); // Use this to query the default domain
            //DirectoryEntry domainConnection = new DirectoryEntry("LDAP://example.com", "username", "password"); // Use this to query a remote domain

            DirectorySearcher samSearcher = new DirectorySearcher();  

            samSearcher.SearchRoot = domainConnection;  
            samSearcher.Filter = "(samAccountName=" + username + ")";  
            samSearcher.PropertiesToLoad.Add("displayName");  

            SearchResult samResult = samSearcher.FindOne();  

            if (samResult != null)  
            {  
                DirectoryEntry theUser = samResult.GetDirectoryEntry();  
                theUser.RefreshCache(new string[] { "tokenGroups" });  

                foreach (byte[] resultBytes in theUser.Properties["tokenGroups"])  
                {  
                    System.Security.Principal.SecurityIdentifier mySID = new System.Security.Principal.SecurityIdentifier(resultBytes, 0);  

                    DirectorySearcher sidSearcher = new DirectorySearcher();  

                    sidSearcher.SearchRoot = domainConnection;  
                    sidSearcher.Filter = "(objectSid=" + mySID.Value + ")";  
                    sidSearcher.PropertiesToLoad.Add("distinguishedName");  

                    SearchResult sidResult = sidSearcher.FindOne();  

                    if (sidResult != null)  
                    {  
                        userNestedMembership.Add((string)sidResult.Properties["distinguishedName"][0]);  
                    }  
                }  

                foreach (string myEntry in userNestedMembership)  
                {  
                    Console.WriteLine(myEntry);  
                }  

            }  
            else 
            {  
                Console.WriteLine("The user doesn't exist");  
            }  

            Console.ReadKey();  

        }  
    }  
}

Ответ 2

Используйте UserPrincipal.GetAuthorizationGroups() вместо этого - из Документы MSDN:

Этот метод выполняет поиск всех групп рекурсивно и возвращает группы в который пользователь является членом. возвращенный набор может также включать дополнительные группы, которые рассмотрите пользователя, входящего в авторизации.

Группы, которые возвращаются этим метод может включать группы из различного объема и хранения, чем главный. Например, если Основной объект - объект AD DS, который имеет DN "CN = SpecialGroups, DC = Fabrikam, DC = ком, возвращаемый набор может содержать группы которые принадлежат" CN = NormalGroups, DC = Fabrikam, DC = ком.

Ответ 3

Я знаю, что это старый поток, но это лучший результат в Google, поэтому, если это кому-то помогает, вот что я придумал, используя материал AccountManagement, но делает этот конкретный запрос намного проще.

public static class AccountManagementExtensions
{
    public static bool IsNestedMemberOf(this Principal principal, GroupPrincipal group)
    {
        // LDAP Query for memberOf Nested 
        var filter = String.Format("(&(sAMAccountName={0})(memberOf:1.2.840.113556.1.4.1941:={1}))",
                principal.SamAccountName,
                group.DistinguishedName
            );

        var searcher = new DirectorySearcher(filter);

        var result = searcher.FindOne();

        return result != null;
    }
}

Ответ 4

Эффективным способом является выполнение одного запроса AD с помощью правильного фильтра DirectorySearcher, например.

public bool CheckMemberShip(string userName)
    {

        bool membership = false;
        string connection = "LDAP://"+YOURDOMAIN;
        DirectoryEntry entry = new DirectoryEntry(connection);
        DirectorySearcher mySearcher = new DirectorySearcher(entry);
        mySearcher.Filter = "(&(objectClass=user)(memberOf:1.2.840.113556.1.4.1941:=cn=GROUPNAME,OU=Groups,OU=ABC,OU=ABC,OU=IND,DC=ad,DC=COMPANY,DC=com)(|(sAMAccountName=" + userName + ")))";
        SearchResult result = mySearcher.FindOne();

        // No search result, hence no membership
        if (result == null)
        {
            membership = false;
        }

        entry.Close();
        entry.Dispose();
        mySearcher.Dispose();

        membership = true;
        return membership;
    }

Вам необходимо заменить YOURDOMAIN и GROUPNAME на правильные значения из вашего AD.

Источник: Как рекурсивно получить членство в группе пользователя в Active Directory с использованием .NET/С# и LDAP (без двух обращений к Active Directory)

Необходимо включить using System.DirectoryServices;