получить объекты контейнера активной директории для нового пользователя

Question

Я хочу создать дерево объектов-контейнеров в домене активного каталога, к которому может быть добавлен новый пользователь.Я могу пройти через домен и получить все в каталоге, но я хочу ограничить свою область ТОЛЬКО контейнерами, которые действительны для пользователей.

Как будет выглядеть запрос LDAP, чтобы получить дочерние элементы узла, подходящие для объекта пользователя?Есть ли лучший способ сделать это?

Я использую c #, System.DirectoryServices и .net 3.5, если вам интересно.

Спасибо!

Answer 1

Ознакомьтесь с превосходной статьей MSDN Управление принципами безопасности каталогов в .NET Framework 3.5 о том, как использовать новые функции в System.DirectoryServices.AccountManagement в .NET 3.5, если вы этого еще не сделали.

Для привязки к вашему контейнеру вам необходимо знать его путь LDAP, и с его помощью вы можете установить контекст на основе этого контейнера:

PrincipalContext ctx = 
    new PrincipalContext(ContextType.Domain, "Fabrikam",
                         "ou=TechWriters,dc=fabrikam,dc=com");

С этим контекстом вы можете теперьискать определенные типы принципалов в этом контексте:

// create a principal object representation to describe
// what will be searched 
UserPrincipal user = new UserPrincipal(ctx);

// define the properties of the search (this can use wildcards)
user.Enabled = false;
user.Name = "user*";

// create a principal searcher for running a search operation
PrincipalSearcher pS = new PrincipalSearcher();

// assign the query filter property for the principal object you created
// you can also pass the user principal in the 
// PrincipalSearcher constructor
pS.QueryFilter = user;

// run the query
PrincipalSearchResult<Principal> results = pS.FindAll();

Console.WriteLine("Disabled accounts starting with a name of 'user':");
foreach (Principal result in results)
{
    Console.WriteLine("name: {0}", result.Name);
}

Это работает для вас?Это то, что вы ищете?

Answer 2

Если я правильно понимаю ваш вопрос, вам нужно знать, какие объекты в Active Directory могут содержать Пользователь объект.

Я думаю, вы можете получить ответ из ADраздел схемы.Я быстро проверил раздел схемы, работающий под управлением Windows 2003 AD.Объект Пользователь может быть назначен на OU , контейнер , builtinDomain и domainDNS .

Я не проверял Windows 2008, но считаю, что она должна быть такой же.Многие знают, что такое OU и контейнер .Мало кто знает, что такое builtinDomain и domainDNS .Сомневаюсь, полезно ли это в вашем случае. builtinDomain - это специальный контейнер, используемый для хранения встроенной учетной записи.По умолчанию AD создал встроенный домен на CN=Builtin,DC=yourdomain,DC=com. domainDNS - это путь к корневому домену DC=yourdomain,DC=com.

Здесь представлена ​​функция для поиска всех видов объектов в Active Directory в конкретном узле .Если вы считаете, что builtinDomain и domainDNS не имеют смысла в вашем случае, просто удалите его из фильтра LDAP.

IEnumerable<DirectoryEntry> FindUserParentObject(DirectoryEntry root)
{
    using (DirectorySearcher searcher = new DirectorySearcher(root))
    {
        searcher.Filter = "(|(objectClass=organizationalUnit)(objectClass=container)(objectClass=builtinDomain)(objectClass=domainDNS))";
        searcher.SearchScope = SearchScope.Subtree;
        searcher.PageSize = 1000;
        foreach (SearchResult result in searcher.FindAll())
        {
            yield return result.GetDirectoryEntry();
        }
    }
}