問題タブ [active-directory-group]

特定のグループに関連付けられた Windows ログインを見つける方法を探しています。次のような形式の名前のみを許可するツールにアクセス許可を追加しようとしています:

追加する必要がある Active Directory 形式のユーザーのリストがあります。

DOMAIN\Group1 を追加しようとしましたが、「ユーザーが見つかりません」というエラーが表示されます。

PS は、私が LAN 管理者ではないことにも注意してください。

スタック オーバーフローに関するこれに似た質問がいくつかありますが、まったく同じではありません。

Win XP コンピュータでローカル グループを開く、または作成し、メンバー、ドメイン、ローカル、および既知のアカウントを追加したいと考えています。また、ユーザーが既にメンバーであるかどうかを確認して、同じアカウントを 2 回追加しないようにし、おそらく例外が発生するようにしたいと考えています。

WinNT://ここまでは、プロバイダーで DirectoryEntry オブジェクトを使い始めました。これは問題ありませんが、グループのメンバーのリストを取得する方法に行き詰まっていますか?

誰でもこれを行う方法を知っていますか? または、DirectoryEntry を使用するよりも優れたソリューションを提供しますか?

を通じて配布された .NET アプリケーションがありますClickOnce。アプリケーション内のセキュリティはWindowsPrincipal.IsInRole(GroupName)、グループのセットをリソースとして使用する方法で実装されます。この構造は、グループと同じドメイン内のユーザーに対してうまく機能します。残念ながら、マシン上で動作するアプリケーションを使用し、ドメインによって信頼されているが同じフォレストにはない別のドメインのユーザー アカウントを使用する必要があるユーザーがいます。

IsInRole()グループ メンバーシップのローカル マシン上の AD チケットをクエリするようです。残念ながら、このチケットには、マシンのドメインのドメイン ローカル グループと、他の信頼できるドメインのグローバルおよびユニバーサル グループしか含まれていません。私たちのグループは、最初のドメインのドメイン ローカル グループです。キャッチ 22 の状況は、AD がグローバル グループまたはユニバーサル グループのいずれかで外部セキュリティ プリンシパルを許可していないため、2 番目のドメインのユーザーがクエリを実行することはできますが、そのメンバーになることはできません (少し無意味です! )

説明: DOM1 と DOM2 の 2 つのドメインがあり、その間に信頼関係が設定されていますが、それらは同じフォレスト内にはありません。

2人のユーザーです。

と の両方を、両方のユーザーに表示され、両方を含むことができる 1 つのグループUser1に入れたいと思います。User2

現在確認できる唯一の方法は次のとおりです ({} は、グループのメンバーを示します。DL=Domain Local および GLO=GlobalGroup です)。

2 つのグローバル グループを各ドメインに 1 つずつ作成します。

および 2 つのグローバル グループを含む 2 つのドメイン ローカル グループ:

しかし、実際には 2 つ以上のドメインと、グループの階層を含めて約 70 のグループを管理する必要があり、他のドメインのグループの管理を直接制御できないため、これは実際には受け入れられません。

LDAP を使用するアプローチについてはまだ何も考えていませんが、私が読んだ少しのことから、この目的には一般的に推奨されていないと思いますか?

Active Directory 配布グループに電子メールを送信しようとしています。

次のようなものを使用してメールを送信できることを知っています。

しかし、フィールドで (有効な) AD グループ (「My Test Group」など) に固執しようとするとTo、有効な電子メール アドレスではないため、除外されます。

これは本当に簡単だと思いますが、行き詰まっているようです...

ありがとう

現在の Windows ユーザーがローカル管理者であるか、UAC を使用してそのグループ メンバーシップを「取得」できるかを調べようとしています。

私がこれまでに思いついたことは、次のようになります。

このソリューションの計算には数ミリ秒かかります。以前に試した System.DirectoryServices.AccountManagement ベースのアプローチよりもはるかに高速です。

ただし、最後に気になることが 1 つあります。管理者グループの SecurityIdentifier を名前に変換する必要があります。SID を使用して DirectoryEntry を直接取得する方法が必要です。Googleによると、これはうまくいくはずです：

ただし、これは機能しないようです。構文がどのように見えるべきか考えていますか?

実際には非常に単純な質問:

現在、IIS の匿名アクセスを無効にしています。ユーザーは Windows ログインを使用して自動的にログオンしています。ただし、User.IsInRole("Role name") を呼び出すと false が返されます。User.Identity.Name() と「ロール名」を再確認したところ、true が返されるはずです。

私は現在これを私の Web.Config に持っています:

更新
User.IsInRole("Role name") を呼び出していましたが、ここで User.IsInRole("DOMAIN\Role name") を呼び出す必要があります

ただし、 <membership> エントリが必要かどうかを知りたいですか?

何を変更すればよいですか？(そして <membership> エントリは必要ですか? )

Active Directory からユーザーとグループの情報を返す WCF Web サービスを作成しました。ほとんどのグループとユーザーで機能します。

directoryEntry.Invoke("groups",null) を使用して、指定されたユーザーがメンバーであるグループを返します。これにより、MOST グループが返されます。奇妙なことは、メンバーの 1 つで呼び出しクエリを使用したときに欠落しているグループの 1 つであったとしても、任意のグループを見つけてそのメンバーを列挙できることです。

この動作を示すグループのほとんどは、Exchange 対応です。問題のあるユーザー アカウントのほとんどは、クエリ対象のドメインで Exchange サーバーを使用しているフェデレーション ドメインのユーザーのものです。フェデレーション ドメイン内のオブジェクトをクエリしようとはしていません。

これまでの私の理論：

• 一部のセキュリティ制限により、欠落しているグループを照会してそのメンバーを列挙することはできますが、invoke() を介してすべてのグループを列挙することはできません。

• 呼び出しには、グループの一部のサブセットで問題があります。おそらく、ユニバーサル、動的、または Exchange 対応のプロパティが機能している

• 「フェデレーション」アカウント (Exchange アカウント設定の一部として作成される) は、ログイン ドメインへの sid マッピングを超えて、通常のドメイン アカウントとは何らかの形で異なるため、invoke メソッドはすべてのグループを選択しません。

ユーザー名を指定して、ユーザーがメンバーであるすべてのグループを返す LDAP クエリを作成するにはどうすればよいですか?

私のプログラムでは、グループ内のユーザー ログオン名のリストを取得する必要があります。

これは私がこれまでに持っているものですが、すべてのユーザーのみを返します...私が名前を持っているグループ内のユーザーに切り詰める必要があります。

特定の AD グループのユーザーを取得するにはどうすればよいですか?

ドメイン、ユーザー名、およびパスワードを使用して PrincipalContext をインスタンス化することから始めますか?