Каков наилучший способ сохранить ссылку на группу AD?

Question

Я пишу приложение для внутренней сети для клиента и хочу дать им возможность настраивать через интерфейс администратора, какие пользователи и группы пользователей могут получить доступ к определенным областям. То, что я хотел бы знать, это лучший способ сохранить ссылку на пользователя или группу, которая назначена для области интрасети.

Должен ли я использовать строки domain \ username и domain \ groupname или, возможно, использовать полное имя объявления, например ou = computer room; cn = бла и т.д?

Я буду хранить ссылку в SQL.

Answer 1

Если вы хотите быть абсолютно уверенным, что у вас есть правильный пользователь / группа, вы можете использовать SID (идентификатор безопасности, который существует для любого объекта в активном каталоге, которому могут быть назначены разрешения, и его GUID)

Я не уверен, каков контекст приложения, но, возможно, стоит взглянуть на использование безопасности Active Directory, чтобы запретить пользователям размещать не нужные места, или, если это не сайт большого объема, некоторые из них могут возможно, сделать это с помощью встроенной аутентификации и выполнить проверку безопасности на sql.

У меня были проблемы с запросами LDAP и AD, так как контроллеры разных доменов иногда могут давать разные ответы, или даже не находить объект, или требовать, чтобы вы вошли в систему, прежде чем вы сможете запросить AD.

Answer 2

Я бы использовал домен \ группу в случае, если группа будет перемещена или удалена / воссоздана. Использование CN хрупко перед лицом изменений в структуре OU. Идентификаторы безопасности недоступны для чтения человеком и могут сломаться, если объект будет удален / воссоздан.

Answer 3

Лично я считаю, что формат «Домен \ Имя пользователя» достаточно читабелен.

Кроме того, если вы редактировали таблицу SQL напрямую, вы могли бы довольно легко вставить запись для пользователя в целях тестирования или отладки.