Question

Я пытаюсь определить, находится ли данная локальная учетная запись пользователя в локальной группе администраторов. Все работает нормально, пока система не присоединена к домену. При присоединении к домену выдается исключение, что сетевой путь не был найден, но только при поиске локальных учетных записей без прав администратора; если тестовая учетная запись является локальным администратором, метод возвращает нормально.

Это пример кода:

string accountName = @"localAccountName"; 
string groupName = @"Administrators";

using (PrincipalContext principalContext = new PrincipalContext(ContextType.Machine))
{
    using (UserPrincipal accountPrinciple = new UserPrincipal(principalContext))
    {
        accountPrinciple.SamAccountName = accountName;
        using (PrincipalSearcher accountSearcher = new PrincipalSearcher(accountPrinciple))
        {
            UserPrincipal account = (UserPrincipal)accountSearcher.FindOne();
            if(account != null)
            {
                using (GroupPrincipal groupPrinciple = new GroupPrincipal(principalContext))
                {
                    groupPrinciple.SamAccountName = groupName;
                    using (PrincipalSearcher groupSearcher = new PrincipalSearcher(groupPrinciple))
                    {
                        GroupPrincipal group = (GroupPrincipal)groupSearcher.FindOne();
                        if (account.IsMemberOf(group))
                        {
                            Console.WriteLine(@"{0} is part of the administrators group", accountName);
                        }
                        else
                        {
                            Console.WriteLine(@"{0} is not part of the administrators group", accountName);
                        }
                    }
                }
            }
            else
            {
                Console.WriteLine(@"{0} is not found", accountName);
            }
        }
    }
}

Полученный стек:

Unhandled Exception: System.Runtime.InteropServices.COMException: The network path was not found.

   at System.DirectoryServices.DirectoryEntry.Bind(Boolean throwIfFail)
   at System.DirectoryServices.DirectoryEntry.Bind()
   at System.DirectoryServices.DirectoryEntry.get_AdsObject()
   at System.DirectoryServices.PropertyValueCollection.PopulateList()
   at System.DirectoryServices.PropertyValueCollection..ctor(DirectoryEntry entry, String propertyName)
   at System.DirectoryServices.PropertyCollection.get_Item(String propertyName)
   at System.DirectoryServices.AccountManagement.SAMStoreCtx.ResolveCrossStoreRefToPrincipal(Object o)
   at System.DirectoryServices.AccountManagement.SAMMembersSet.MoveNextForeign()
   at System.DirectoryServices.AccountManagement.SAMMembersSet.MoveNext()
   at System.DirectoryServices.AccountManagement.PrincipalCollectionEnumerator.MoveNext()
   at System.DirectoryServices.AccountManagement.PrincipalCollection.ContainsEnumTest(Principal principal)
   at AdminGroupTest.Program.Main(String[] args)

Я указал контекст машины и попытался использовать перегрузки, чтобы дополнительно указать локальную машину. Я мог понять, если это была проблема с разрешениями AD, за исключением простого изменения целевой учетной записи, изменяющей поведение независимо от выполняемой учетной записи, и выполнение запросов к учетной записи локального администратора (не администратора по умолчанию) работает. PrincipleSearcher находит аккаунт, но не может проверить членство ... Должно быть что-то, что я пропускаю.

user1073928 · Answer 1 · 27 ноября 2018

По умолчанию при присоединении компьютера к домену группа «Администраторы домена» будет добавлена в локальную группу «Администраторы».

При запросе к Principal.IsMemberOf (GroupPrincipal) перечисляются значения GroupPrincipal.Members.

Сначала проверяются все члены группы верхнего уровня. Это включает в себя локальных пользователей, поэтому вызов успешен при проверке локального администратора.

Если совпадений не найдено, код перечисляет другие группы, которые являются членами рассматриваемой группы. В этом случае администраторы домена.

Для перечисления членов администраторов домена требуется поиск в активном каталоге, но у исполняющего пользователя нет прав для выполнения запроса домена.

Вместо того, чтобы перечислять группы для поиска членов, вы можете просто запросить у UserPrincipal его группы:

string accountName = @"localAccountName";
string groupName = @"Administrators";

using (PrincipalContext principalContext = new PrincipalContext(ContextType.Machine))
{
    using (UserPrincipal accountPrinciple = new UserPrincipal(principalContext))
    {
        accountPrinciple.SamAccountName = accountName;
        using (PrincipalSearcher accountSearcher = new PrincipalSearcher(accountPrinciple))
        {
            UserPrincipal account = (UserPrincipal)accountSearcher.FindOne();
            if (account != null)
            {
                foreach (var group in account.GetGroups())
                {
                    if (group.SamAccountName == groupName && group.ContextType == ContextType.Machine)
                    {
                        Console.WriteLine(@"{0} is part of the administrators group", accountName);
                        return;
                    }
                }

                Console.WriteLine(@"{0} is not part of the administrators group", accountName);
            }
            else
            {
                Console.WriteLine(@"{0} is not found", accountName);
            }
        }
    }
}

Principle.IsMemberOf исключение для локальной учетной записи пользователя при присоединении к домену

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Principle.IsMemberOf исключение для локальной учетной записи пользователя при присоединении к домену

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы