c # активный каталог временная группа членство?

Question

Есть ли способ добавить пользователя в группу на точное время, а затем автоматически удалить пользователя из группы?
например.: CN=testuser1 и CN=testgroup1
Теперь я хочу добавить CN=testuser1 к CN=testgroup1 на 1 день.
После этого 1 дня пользователь должен уйти (больше не должен быть членом группы) CN=testgroup1 автоматически .
Возможно ли это с System.DirectoryServices.AccountManagement;, System.DirectoryServices; или есть другое решение, кроме скрипта Powershell?

Подсказка: мне не нужно решение со скриптом powershell или чем-то в этом роде. Это должно быть сделано в моей программе на C #. У меня есть форма окна, где у меня есть 3 текстовых поля:

• Имя пользователя из AD: поиск пользователя в AD (у меня уже есть поисковик)
• Имя группы из AD: поиск группы в AD (у меня уже есть поисковик)
• и длительность: здесь я хочу указать продолжительность периода, в течение которого пользователь должен находиться в этой группе (в днях)

Когда я нажимаю кнопку «Добавить пользователя временно в группу», пользователь должен быть добавлен в эту группу на определенное время, которое я могу ввести в этом текстовом поле.

Заранее спасибо!

Answer 1

Да, это возможно. Для этого требуется, чтобы у вас был лес Windows Server 2016 и была включена дополнительная функция управления привилегированным доступом.

После этого вы можете указать TTL для связанного значения, такого как членство в группе. Этот блог https://www.dsinternals.com/en/how-the-active-directory-expiring-links-feature-really-works/ показывает, как это сделать. Я не знаю, можете ли вы предоставить синтаксис через ADSI (System.DirectoryServices) или вам нужно будет вернуться к прямому вызову LDAP с System.DirectoryServices.Protocols.