問題タブ [active-directory-group]

Active Directoryでこのようなグループを指定すると、次のようになります。

User3がMainGroupのメンバーであるか、そのサブグループのいずれかであるかは、次のようなコードで簡単に判断できます。

グループまたはそのサブグループのメンバーであるすべてのユーザーを取得する同様の方法があるかどうかを知りたいです。つまり、MainGroupの例では、User1、User2、User3、およびUser4を取得します。

すべてのユーザーを取得するための明白な方法は、各サブグループに再帰的にクエリを実行することですが、もっと簡単な方法があるかどうか疑問に思いました。

フィルタで同じアプローチを使用memberOf:1.2.840.113556.1.4.1941:しますが、クエリに時間がかかりすぎるため、検索ベースとしてユーザーの代わりにドメインルートを使用することはできません（おそらく、ドメイン内のすべてのユーザーのすべてのグループメンバーシップを再帰的に計算し、それらが指定されたグループのメンバーです）。

サブグループを含むグループのすべてのメンバーを取得するための最良の方法はどれですか？

特定のユーザーが属するグループを取得するためにこれを書きました：

特定のユーザーだけでなく、ウィンドウ内のすべてのグループを取得するにはどうすればよいですか?

私のSharepointコードでは、定義されたすべてのユーザーのリストを次の方法で表示します。

重要な点は、ドメイン セキュリティ グループを SharePoint グループ (訪問者など) に追加して、一度に多くのユーザーを追加できることです (管理が簡単になります)。しかし、私のコードでは、少なくとも最初にログインするまで (十分な権限がある場合)、これらのユーザーは表示されません。この場合、 に設定されたドメイン セキュリティ グループSPUserオブジェクト インスタンスしか表示されません。IsDomainGrouptrue

Active Directory のクエリに頼らずに、Sharepoint を使用してドメイン グループ メンバーを取得することは可能ですか (そのような操作を実行するには十分な権限が必要なので、むしろ避けたいと思います = より多くの管理: Sharepoint 権限 + AD 権限)。

経由で Active Directory からグループを取得する際に問題が発生していますSystem.DirectoryServices

当初、ドメインに登録されたコンピューターでアプリケーションを開始しましたが、これはライブ ドメインであり、AD への書き込みを一切行いたくなかったため、ホスト オペレーティング システムとして Windows XP を搭載したマシンをセットアップしました。 、および VM に Windows Server 2003 をインストールしました。

マシンに別のイーサネット ポートを追加し、スイッチをセットアップしました。1 つのイーサネット ポートは VM 専用で、もう 1 つのポートはホストに使用されます。

通信できるように IP アドレスを構成した後、アプリケーションをホスト マシンに転送して起動しましたが、DirectoryServicesCOMException.

ユーザー名とパスワードが無効であるというメッセージが表示されました:(アクティブディレクトリではないことを確認するためだけに、3番目の仮想マシンを作成し、Windows XPをインストールしました.APPでテストされた資格情報を使用してドメインに追加しました。 .

そのため、アプリケーションが実行されているマシンがドメインの一部ではないためだと思いました。

問題の原因となったコード ブロックは次のとおりです。

ログイン ダイアログの情報は次のように入力されます。

誰かがこのエラーに光を当ててくれることを願っています。

アップデート：

サーバーのセキュリティ ログを確認すると、ログイン試行が成功したことがわかりますが、これは次のことが原因です。

グループをチェックしている行の後の行がエラーを引き起こしているため、主な問題は、ネットワークに参加していないマシンから以下のコード行が正しく機能しないことです。

グループ/ロールのメンバーシップに基づいて、ASP.Net のリソースへのアクセス許可を制御するセキュリティ モジュールがあります。Active Directory にグループ メンバーシップを照会し、このモジュールで使用されるカスタム ASP.Net ロール プロバイダーを作成しました。

セキュリティ チェックは、リクエストごとに次のように機能します (パフォーマンス上の理由からキャッシングが使用されますが、このリストからは除外されます)。

1. ユーザー グループ メンバーシップのリストについて AD にクエリを実行する
2. 要求されたリソースへのアクセス権を持つユーザーとグループのリストをデータベースに照会します
3. AD からの結果をデータベースからの結果と比較します。ユーザーが明示的に権限を持っている場合、またはユーザーが属するグループが権限を持っている場合はアクセスを許可し、そうでない場合は許可しません。

問題は、ネストされたグループがある場合に発生します。ParentGroupとChildGroupの2 つのグループがあるとします。ここで、 ChildGroupは Active DirectoryのParentGroupのメンバーであり、ユーザーはChildGroupのメンバーです。上記のロジックに従って、ChildGroupにリソースへのアクセスを許可すると、ユーザーもリソースにアクセスできるようになります。

論理的には (とにかく私には) ParentGroupにリソースへのアクセスを許可すると、そのすべてのメンバー、および再帰的に取得されたサブグループとそのメンバーも、そのリソースにアクセスできるようになります。しかし、代わりに、私のロジックが機能する方法が原因で、リソースにアクセスできません。上記のリストのステップ 1 では ParentGroup が表示されず、 ChildGroupのみが表示され、ステップ 2 ではParentGroupのみが表示され、 ChildGroupは表示されません。

問題は、「論理的に」説明したように機能させるには、どこで問題を修正する必要があるか、別の方法よりもうまく機能する方法があるかどうかです。

ローカル マシンに 1 人、ドメインに 1 人、2 人のユーザーがいます。: user1&testdomain\user1

現在、これらのユーザーは両方とも異なるグループを持っています

これらのグループを表示したいのですが、 のグループを表示するのに問題はありませuser1んが、 のグループを表示できませんtestdomain\user1。

私のコードは以下の通りです。

ここで、completeusername = user1 および testdomain\user1

助言がありますか？

2 つの特定のグループのメンバーが MVC プロジェクトの一部のコントローラーとアクションにアクセスできるようにするログイン ページを作成する任務を負って、AD 用のロール プロバイダーの作成に取り掛かりました。フォーム認証を使用して構成し、認証されたユーザーが AD で属するグループを列挙することができました。

しかし、これを設定するように依頼されたグループは、AD グループではないことが判明しました。多くのグループを見かけますが、問題のグループは見当たりません。

この要求は、これらのグループが Exchange のグローバル アドレス帳に表示されるという事実に基づいていましたが、1 対 1 の関係はないようです。

関係はありますか？

本当に 2 つの質問がありますが、どちらも同じトピックに関するものです。

フラット ファイルを作成し、このファイルを使用して、ファイルにリストされているユーザーを Active Directory の特定のグループにインポートできるようにする必要があります。グループに含まれていないだけで、AD には既に存在します。

それに加えて、同様の方法を使用して、別のフラット ファイルを使用して AD グループからユーザーを削除できるようにする必要もあります。

これはできますか？ユーザーのリストは 100 代になるので、手動で行う必要はありません....

プライマリグループを含め、ユーザーが属するすべてのグループを取得しようとしています。

このようなことをする：

これにより、プライマリグループを除くすべてのグループが得られます。他のグループに加えてを使用して、プライマリグループ名primaryGroupIDを取得する方法はありますか？

背景: Web サービスで提供される情報に基づいてデータベースにユーザーを登録し、ランダムなパスワードとユーザー名を自動生成し、マーケティング会社に基づいてアプリケーションを取得するためのリンクをユーザーに電子メールで送信する webForm アプリがあります。選択されました。

質問：

• 現在ログインしているユーザー名を MarketerName_TextBox フィールドに入力するにはどうすればよいですか (それは User.Identity.Name で、その行を aspx.vb の末尾または aspx の末尾に追加しますか?)

フロントエンドのスクリーンショットは次のとおりです。

私はWrox の Windows Authentication Tutorial のコードから離れてきましたが、私がやろうとしていることには十分ではありません。

web.config ファイル:

web.config ファイル (関連するコードのみ表示):

txtMarketerName_TextChanged() および Page_Load() メソッドを使用した default.aspx.vb コード:

マーケティング担当者名のテキスト ボックス フィールドが表示される default.aspx コード:

ご覧いただきありがとうございます。

役立つリンクや提案があれば、賛成票を投じます!