Предотвращает ли активный каталог изменение клиентами, не входящими в домен?

Question

У меня есть метод AddUserToGroup для добавления пользователя в группу активных каталогов.

Я вызываю метод на компьютере, не подключенном к контроллеру домена, содержащему пользователя и группу.

Когда вызывается group.Save (), генерируется исключение PrincipalOperationException:

" Не удалось получить информацию о домене (1355). "

Предотвращает ли AD модификацию от клиентов, не зарегистрированных в домене? Я могу с удовольствием запросить домен (например, вернуть пользователей в группе) с одного и того же клиента.

Способ добавления пользователя в группу:

public static void AddUserToGroup(string userId, 
                                  string groupName)
{
    try
    {
        using (var pc = GetPrincipalContextFromConfig())
        {
            var group = GroupPrincipal.FindByIdentity(pc, groupName);
            try
            {
                group.Members.Add(pc, IdentityType.Guid, userId);
                group.Save();
            }
            catch (PrincipalExistsException e)
            {
              //...
            }                                                                
        }
    }
    catch (DirectoryServicesCOMException e)
    {                
        //...
    }
}

Answer 1

Независимо от того, под каким ID запущено ваше приложение, он должен иметь доступ для записи в AD. Практически любой ID может запрашивать AD, но только ID, которому явно предоставлено право, может писать в него.