クライアント用のイントラネット アプリケーションを作成しています。管理インターフェイスを介して、特定の領域にアクセスできるユーザーとユーザー グループを構成できるようにしたいと考えています。私が知りたいのは、イントラネットの領域に割り当てられたユーザーまたはグループへの参照を格納する最良の方法です。
domain\usernameおよびdomain\groupname文字列を使用する必要がありますか、それとも完全修飾広告名(ou=computer room;cn=blahなど) を使用する必要がありますか?
参照をSQLに保存します。
グループが移動または削除/再作成された場合に備えて、ドメイン\グループを使用します。CN の使用は、OU 構造の変更に直面すると脆くなります。SID は人間が読み取れるものではなく、オブジェクトが削除または再作成されると破損します。
個人的には、「Domain\Username」形式で十分読みやすいと思います。
また、SQL テーブルを直接編集している場合は、テストまたはデバッグの目的でユーザーのレコードを簡単に挿入できます。
絶対に正しいユーザー/グループを持っていることを確認したい場合は、SID (アクセス許可を割り当てることができる Active Directory 内の任意のオブジェクトに存在するセキュリティ識別子、およびその GUID) を使用できます。
アプリケーションのコンテキストが何であるかはわかりませんが、おそらく Active Directory セキュリティを使用して、ユーザーが行ってはいけない場所に行くのを阻止することを検討してください。または、サイトが大量のサイトでない場合は、そのいくつかを実行できる可能性があります。統合認証を使用し、SQL でセキュリティ検証を行います。
LDAP クエリと AD には不満がありました。ドメイン コントローラが異なると、異なる回答が返されたり、オブジェクトが見つからなかったり、AD にクエリを実行する前にログインが必要になったりすることがあるためです。