Question

我试图在C＃中列出Active Directory中的角色列表，但到目前为止我找到的唯一答案是绑定到特定用户的角色列表，而不是域明智的所有角色列表。< / p>

这是我发现here

的片段

// set up domain context
using (PrincipalContext ctx = new PrincipalContext(ContextType.Domain))
{
   // find a user
   UserPrincipal user = UserPrincipal.FindByIdentity(ctx, "SomeUserName");

   if(user != null)
   {
       // get the authorization groups - those are the "roles" 
       var groups = user.GetAuthorizationGroups();

       foreach(Principal principal in groups)
       {
           // do something with the group (or role) in question
       }
   }
}

如您所见，获取角色列表的唯一方法是使用绑定到用户的UserPrincipal对象。我想列出可以从特定域分配给用户的所有可能角色。

顺便说一句，我不太了解Active Directory中的用户/组/角色层次结构，所以在考虑这种结构是如何工作的时候我可能错了，让我们说，也许是一个角色只是一种特殊的群体。

Answer 1

您可以使用PrincipalSearcher和“按示例查询”主体进行搜索：

// create your domain context
using (PrincipalContext ctx = new PrincipalContext(ContextType.Domain))
{
   // define a "query-by-example" principal - here, we search for a GroupPrincipal 
   GroupPrincipal qbeGroup = new GroupPrincipal(ctx);

   // create your principal searcher passing in the QBE principal    
   PrincipalSearcher srch = new PrincipalSearcher(qbeGroup);

   // find all matches
   foreach(var found in srch.FindAll())
   {
       // do whatever here - "found" is of type "Principal" - it could be user, group, computer....
   }
}

此搜索从当前连接的域的顶级开始，并枚举该域中的所有组。现在，这些可以是安全组，也可以是通讯组列表 - 如果您想获得安全组（实际上对应于“角色”），您可以像这样调整您的搜索者：

 GroupPrincipal qbeGroup = new GroupPrincipal(ctx);
 qbeGroup.IsSecurityGroup = true;

有关详细信息，请参阅MSDN documentation on the System.DirectoryServices.AccountManagement命名空间。

使用Active Directory获取域名列表

1 个答案: