問題タブ [active-directory]

ASP.NETアプリケーションで、構築しているイントラネットサイトにユーザーを自動的にログインさせるのに問題があります。グーグルや私が適用した実験に関係なく、IE7によって表示されるログインボックスが常にあります。

Web.configでWindows認証モードを設定し、匿名アクセスを無効にして、IISで正しいデフォルトドメインを構成しましたが、それでもユーザーにログインを求めており、さらに厄介なことに、ユーザーはドメインも提供する必要があります（DOMAIN \ auser）。これは、技術者以外の訪問者に問題を引き起こしています。パスワード記憶機能を提供してくれたZeusに感謝します。

私はネットワーク管理者ではないので、Active Directoryに関する何かが正しく設定されていないか、非常に単純なものが欠落している可能性があります。ユーザーを偽装したくないことに注意してください。IPrincipal.Nameプロパティがユーザーデータベースの有効なレコードのプロパティと一致していることを知っておく必要があります。これにより、ユーザーがアプリケーションに対して認証されます。

この目的のために、AD、ASP.NET、およびIISのすべての構成要件のチェックリストを用意して、デバッグのリファレンスとしてこのように連携し、ユーザーの摩擦を減らすことができれば非常に便利です。

会社のソフトウェアの仕様に取り組んでおり、監査システムの一部として、現在の Active Directory ユーザーを取得する方法があればいいと思います。

うまくいけば、次のようなものです：

配布リストを作成するために、VB.NET および DirectoryServices を介して新しい Active Directory エントリのグループ タイプを設定しようとしています。

ADS_GROUP_TYPE 列挙にアクセスするにはどうすればよいですか?

具体的には、私は ADS_GROUP_TYPE_GLOBAL_GROUP の後です。

Exchange 2007 でメールボックスなどを作成するために、Web インターフェイス (ASP.NET/C#) を介して powershell コマンドを実行しようとしています。Visual Studio (Cassini) を使用してページを実行すると、ページが正しく読み込まれます。ただし、IIS (v5.1) で実行すると、「不明なユーザー名またはパスワードが正しくありません」というエラーが表示されます。私が気付いた最大の問題は、Powershell が Active Directory アカウントではなく ASPNET としてログインしていたことです。Powershell セッションを強制的に別の Active Directory アカウントで認証するにはどうすればよいですか?

基本的に、これまでのスクリプトは次のようになります。

ここに何かが欠けています：

問題は、なぜ次の 2 つの出力が異なるのかということです。

.net インストーラー プロジェクトを使用してインストールされるプログラムを作成しています。プログラムは、設定ファイルを Program Files dir 内のそのディレクトリに書き込みます。制限されたユーザーがプログラムを実行している場合、アプリケーションがそのディレクトリにアクセスできないようにする Active Directory 設定がいくつかあると考えられます。これが問題にならないように、インストールを通じてアプリケーション フォルダーの設定を変更する方法はありますか?

内部サイトの 1 つで NTLM 認証を実装しようとしていますが、すべてが機能しています。私が持っていないパズルの 1 つのピースは、NTLM から情報を取得し、Active Directory で認証する方法です。

これを実装するために使用したNTLMとパスワードに使用される暗号化についての適切な説明がありますが、ユーザーのパスワードが有効かどうかを確認する方法がわかりません。

私は ColdFusion を使用していますが、この問題はどの言語 (Java、Python、PHP など) でも解決できます。

編集：

Redhat Enterprise Linux で ColdFusion を使用しています。残念ながら、IIS を使用してこれを管理することはできません。代わりに、サード パーティ製のツールを作成または使用する必要があります。

更新-私はこれを機能させました。これが私がしたことです

samba.orgのJCIFS ライブラリを使用しました。

以下の方法は NTLMv1 でのみ機能し、NTLMv2 では機能しないことに注意してください。NTLMv1 を使用できない場合は、NTLMv2 をサポートしているがオープン ソースではないJespaを試すか、 Kerberos/SPNEGO を使用できます。

ここに私のweb.xmlがあります:

これで、一致/admin/*するすべての URL で NTLM 認証が必要になります。

利用可能な NT4 ドメインを取得する方法 (WinXP ログイン ボックスのドロップダウンに少し似ています) を (c# で) 知っている人はいますか?

DirectoryServices 名前空間を使用する Active Directory ではこれがかなり簡単であることはわかっていますが、古い NT4 ドメインについては何も見つかりません。可能であれば、API 呼び出しを使用したくありません (しかし、それは少し多くのことを要求するかもしれません)。

また、ボーナス ポイント (!) として、この秋にようやく Active Directory に切り替える予定です。移行時に、ドメイン リストを NT4 から AD に自動的に切り替える方法をどのように構築すればよいでしょうか (そのため、私は必要ありません)。再コンパイルして再リリースする)

特定のグループに関連付けられた Windows ログインを見つける方法を探しています。次のような形式の名前のみを許可するツールにアクセス許可を追加しようとしています:

追加する必要がある Active Directory 形式のユーザーのリストがあります。

DOMAIN\Group1 を追加しようとしましたが、「ユーザーが見つかりません」というエラーが表示されます。

PS は、私が LAN 管理者ではないことにも注意してください。

私のアプリケーションの 1 つで、Active Directory にクエリを実行して、特定のユーザーの下にあるすべてのユーザーのリストを取得しています (「直属の部下」を使用しています)。したがって、基本的には、人物の名前が与えられると、AD で検索され、直属の部下が読み取られます。ただし、直属の部下ごとに、ツールは直属の部下の直属の部下をチェックする必要があります。または、より抽象的な: ツールは、人物をツリーのルートとして使用し、ツリー全体をたどってすべての葉 (数百になる場合もあります) の名前を取得します。

さて、これはかなりの回数実行する必要があるため、私の懸念は明らかにパフォーマンスです。私の考えは、それを手動でキャッシュすることです（基本的に、すべての名前を長い文字列に入れてどこかに保存し、1日に1回更新します）。

しかし、おそらく System.DirectoryServices 名前空間の何かを使用して、最初に情報を取得してからキャッシュするよりエレガントな方法があるのではないかと思います。