問題タブ [userprincipal]

User および GroupPrincipals を介してローカル マシン グループに AD ユーザーを追加する実装を実装したいと考えていましたが、うまく簡単に機能すると思いました。残念ながら、引き続き General Access Denied エラーが発生します。適切な認証が行われていることを理解していない可能性がありますが、適切なアクセスが設定されていると思いました。呼び出されているもののコード スニペットを次に示します。

ユーザーが見つかり、グループが見つかりましたが、追加して grp.Save() ステップに到達すると、General Access Denied 例外が発生します。「MyUser」と「MyPW」を介してctxが開かれているため、そのアカウントはマシンのローカル管理者グループの一部であるため、マシンでのグループ操作が可能になると思いました。この方法でマシン/ドメイン コンテキストを混在させることはできませんか、それとも認証に問題があるのでしょうか?

.NetDirectoryServices.AccountManagement名前空間を使用して作成された承認ルーチンがあり、(UserPrinciple).GetAuthorizationGroups() ネストされたグローバル セキュリティ グループをユーザーに適切に返します。

「ロールベースのアクセス制御の Microsoft ADGLP メソッド」を使用し、ローカル グループも返したいと言うお客様がいます。

これは、すでに行っていることのオプション/拡張として可能ですか?

アプリケーション ドメインの外部でUserPrincipal(およびGroupPrincipal)を実行するアプリケーションがあります。FindByIdentityWithTypeこれは先週まで機能していました。それ以来、開発マシンに Visual Studio 2012 をインストールしたところ、PrincipalOperationException{"ドメインに関する情報を取得できませんでした (1355)"} でコードが動作しなくなりました。Windows エラー番号は 80131501 です

VS2012 のインストール、何らかのセキュリティ アップデート、およびこのエラーの出現の間に相関関係があるかどうかはわかりません。

コンテキストの作成時に SimpleBind を使用し、ADSIEdit で同じ設定を使用してドメインにアクセスすることは引き続き機能します。

アプリケーションのテスト中に WireShark をキャプチャしたところ、TCP/LDAP パッケージは成功を示しています。LDAP 検索結果パケットを受け取り、wireshark でその内容が正しいことを確認できます。wireshark で searchRequest と searchResponse を確認できます。要求の値は正しく、要求は正しいディレクトリ オブジェクトで応答されます。クライアントと 2008R2 サーバー間の LDAP トラフィックでポートが変更されていることがわかります。クライアントは Windows7 です (ファイアウォールをオンにしておらず、ウイルス スキャナーを無効にしてみました)。

後で System.DirectoryServices.AccountManagement が UserPrincipal をインスタンス化するときに問題が発生する可能性があると思います (UserPrincipalEx プロパティの一部が例外の理由である可能性があるので、これを試しました)。この推測は、ldap クエリが実行され、正常に応答されるという事実に基づいています。

MemberOfクライアントがそのドメインに対して信頼されていない場合、DirectoryObject のようなメソッドを実行できないことはわかっています。しかし、 UserPrincipal の単純なインスタンス化は、今日まで何ヶ月もの間うまくいきました。

私の開発環境では、DNS の代わりにホスト エントリを使用しています。それは何ヶ月も働きました。サーバーはクライアントの DNS 情報を持っておらず、決して持っていませんでした。

解決策へのヒントは素晴らしいでしょう！

ホスト エントリ:

スタックトレースは次のとおりです。

ActiveDirectoryからUserPrincipalを取得する際に問題が発生しました。まず、ローカル環境で使用しました（IISではなくASP.NET開発サーバーを使用）。

そしてそれはうまくいきます。欲しいものを手に入れました。しかし、テスト環境にアプリケーションをインストールすると、「オブジェクト参照がオブジェクトのインスタンスに設定されていません」というエラーが発生しました。ここから解決策を試しました。

しかし、それは機能しません。

Windows認証を使用しています。なりすましはtrueに設定されます。私を助けてください。

ローカル Windows ユーザーのリストを取得するにはどうすればよいですか (Windows ログオン画面に表示されるユーザーのみ)

Windows Principle ライブラリと WMI Select コマンドを使用して多くの方法を試しました。管理者、ゲスト、およびその他の奇妙なアカウント (VUSRNEIL-DELL、$HOMEGROUPUSER、ASPNET など) を取得し続けています。

これら 3 つのユーザー アカウントはいずれもログオン画面に表示されません。これらのユーザー タイプを区別するにはどうすればよいですか?

私はC#でコーディングしています

AffiliateLoginを設定するコントローラーに関数がありPrincipalます。
行principal.User = user;は実際にはプリンシパルを格納する行です。しかし、別のコントローラーにリダイレクトしてAuthorizeWithRolesAttribute属性をテストすると、プリンシパルがリセットされます。
これはログインの 1 秒後です。赤い矢印が表示されます。

これはそれを格納する関数です。
私は何を間違っていますか？
ありがとう

.NETのUserPrincipal.GetGroups（）メソッドに問題があります。

私のドメイン内のほぼすべてのシステムで、電話をかけることができます

現在のユーザーが所属するグループを返します。ただし、次のメッセージを表示して実行するとクラッシュするWindows 2008 R2EnterpriseServerが1つあります。

サーバーは動作していません。名前：TESTDOMAIN.ORG

このサーバーはどういうわけか異なる構成になっていると思いますが、同じドメインの一部です。

すべてのシステムで同じことを示します：DC = GLOBAL、DC = TESTDOMAIN、DC = ORG

どこを見ればいいですか？何が問題なのか？それを解決する方法は？

私が働いている会社には、ユーザー名、名、姓、OU1、OU2 などの入力情報に基づいて新しい Active Directory アカウントを作成できる Web サービスがあります。

この Web サービスは、Windows Server 2003 で正常に動作しています。現在、Web サービスを 2008 R2 サーバーに移行する作業を行っています。ただし、新しく作成されたアカウントにランダムな初期パスワードを設定しようとすると、特定の機能が機能しなくなります。

スローされる例外は、「RPC サーバーを利用できません」というメッセージを含む COMException の内部例外を含む TargetInvocationException です。

エラーは次の行で発生します: objUser.Invoke("SetPassword", New Object() {strPassword})

奇妙なことに、アカウントの作成自体は機能し、Active Directory ユーザーとコンピューターから新しいユーザーを確認できます。DC と Web サーバーのセキュリティを管理している何人かの人々に相談しましたが、彼らはその理由を本当に知りません...

最後に、System.DirectoryServices.AccountManagement ライブラリを使用してパスワードを設定する別の方法を見つけました。

したがって、コードは次のようになります。

これには古いコードと新しいコードが混在していますが、新しいサーバーではうまく機能しているようです。注意すべきことの 1 つは、UserPrincipal.FindByIdentity 呼び出しが最初に Nothing を返す場合があることです。これは、アカウントの作成またはレプリケーションの遅延が原因であると考えられます。そのため、オブジェクトを取得するまで FindByIdentity を複数回試行して、ユーザー オブジェクトが Nothing でないことを確認する必要があります。

問題の解決策 (回避方法のようなもの) を見つけたにもかかわらず、古いコードが新しいサーバーでは機能しないのに、新しいサーバーでは機能する理由についてまだ混乱しています。エラーは非常に一般的なものであり、インターネットで手がかりを検索すると、混乱が生じるだけです。

そこの専門家がいくつかの光を当てるか、私の新しいコードがどのように見えるかについてコメントすることさえできれば、本当に感謝します。問題はありますか?

前もって感謝します。

ローカル アカウント名が「JohnDoe」で、ローカル マシン名が「Development」であると仮定します...

明確で明確な機能の例では、userPrincipalName の値はどうあるべきですか?

ac＃WebサービスからさまざまなADプロパティをプログラムで更新しようとしています。

電話/オフィス/タイトルなどは問題なく更新できますが、ThumbnailPhotoを更新しようとすると、次のエラーが発生します。指定されたディレクトリサービスの属性または値はすでに存在します

拡張クラスを介して更新しています（System.DirectoryServices.AccountManagementを使用して役職を取得するように）

ADレコードの更新に使用しているコードは次のとおりです。

一部のグーグルは、最初にサムネイル属性をクリアする必要があることを示唆しています。上記のようにnullに設定しようとしましたが、喜びはありません。

編集：私が前に見逃した方法を追加する