Question

我一直在上一篇文章试图整个上午解决这个问题，但似乎都没有。

我一直在为我们的课程管理员修改AD的用户管理界面，想法只是显示他们需要的东西，而解决方案在开发服务器上工作正常，我在prod上得到上述错误。

我已经尝试过我能找到的所有东西，例如HostingEnvironment.Impersonate，将服务帐户推广到域管理员，但注意到有效。

public static List<GroupPrincipal> GetGroups(string client)
{
        List<GroupPrincipal> List = new List<GroupPrincipal>();

        DirectoryEntry ou = null;
        GroupPrincipal group = null;
        PrincipalContext context = null;

        if (domain.Path.ToLower().Contains(DevDN.ToLower()))
        {
            context = new PrincipalContext(ContextType.Domain,
                DevDom,
                DevDN,
                DevService,
                DevServicePass);
        }
        else
        {
            context = new PrincipalContext(
                ContextType.Domain,
                LiveDom,
                LiveDN,
                LiveService,
                LiveServicePass);
        }

        DirectorySearcher searcher = new DirectorySearcher(domain, "(&(ou=" + client + ")(objectClass=organizationalUnit))");
        try
        {
            ou = new DirectoryEntry(searcher.FindOne().Path);
        }
        catch (System.Exception ex)
        {
            Log.WriteError("SUGM.ADLink.GetGroups", "Unable to locate client: " + ex.Message);
            List = null;
            return List;
        }
        try
        {
            foreach (DirectoryEntry groups in ou.Children)
            {
                if (groups.SchemaClassName == "group")
                {
                    string name = groups.Name.Replace("CN=", "");
                    group = GroupPrincipal.FindByIdentity(context, name);
                    List.Add(group);
                }
            }
        }
        catch (System.Exception ex)
        {
            Log.WriteError("SUGM.ADLink.GetGroups", "Unable to add groups to list: " + ex.Message);
            List = null;
            return List;
        }

        return List;
    }

在调试时我已经检查并且正在传递所有正确的值，但它总是在foreach块上失败。

任何人都可以指出我做错了什么。

干杯

Answer 1

你应该避免混合使用System.DirectoryServices和System.DirectoryServices.AccountManagement名称空间 - 这不是一个很好的策略！

你也可以在S.DS.AM（.NET 3.5）中做你想做的一切！而且也更容易。

您可以使用PrincipalSearcher和“按示例查询”主体进行搜索：

// create your domain context and specify the initial container to work from
PrincipalContext ctx = new PrincipalContext(ContextType.Domain, "YOURDOMAIN", "OU=YourStartingPoint,DC=YourCompany,DC=com");

// define a "query-by-example" principal - here, we search for a GroupPrincipal 
GroupPrincipal qbeGroup = new GroupPrincipal(ctx);

// create your principal searcher passing in the QBE principal    
PrincipalSearcher srch = new PrincipalSearcher(qbeGroup);

// find all matches
foreach(var found in srch.FindAll())
{
    // do whatever here - "found" is of type "Principal" - it could be user, group, computer.....          
}

如果您还没有 - 绝对阅读MSDN文章Managing Directory Security Principals in the .NET Framework 3.5，该文章很好地展示了如何充分利用System.DirectoryServices.AccountManagement中的新功能。或者查看MSDN documentation on the System.DirectoryServices.AccountManagement命名空间。

枚举DirectoryEntry组时发生操作错误

1 个答案: