我正在为客户端编写Intranet应用程序,我想让他们通过管理界面进行配置,用户和用户组可以访问某些区域。我想知道的是存储分配给Intranet区域的用户或组的引用的最佳方法。
我应该使用域\用户名和域\ groupname 字符串,还是应该使用完全限定的广告名称,即 ou =计算机房; cn = blah 等?
我将在SQL中存储引用。
答案 0 :(得分:0)
就个人而言,我认为“域\用户名”格式具有足够的可读性。
此外,如果您直接编辑SQL表,您可以非常轻松地为用户插入记录以进行测试或调试。
答案 1 :(得分:0)
如果你想成为absolutley,你可以确定你有合适的用户/组,你可以使用SID(活动目录中可以分配权限的任何对象上存在的安全标识符,以及它的GUID)
我不确定该应用程序的上下文是什么,但也许看看使用Active Directory安全性阻止用户不应该去的地方,或者如果它不是高容量站点,其中一些可能也许可以使用集成身份验证,并在sql上进行安全验证。
我对LDAP查询和AD感到沮丧,因为不同的域控制器有时会提供不同的答案,甚至找不到对象,或者要求您在查询AD之前登录。
答案 2 :(得分:0)
如果移动或删除/重新创建组,我会使用domain \ group。面对OU结构的变化,使用CN是脆弱的。 SID不是人类可读的,如果删除/重新创建对象,它将会中断。