代码之家 › 专栏 › 技术社区 › Wallstreet Programmer

在全局编录中对用户进行身份验证

windows-authentication active-directory c#

Wallstreet Programmer · 技术社区 · 15 年前

var domains = System.DirectoryServices.ActiveDirectory.Forest.GetCurrentForest().Domains;

但是,我们也有属于林外域的用户。但是,我可以从全局目录(GC)中访问它们。下面的代码允许我获取用户ID的目录条目。

System.DirectoryServices.DirectoryEntry globalCatalogDE = new System.DirectoryServices.DirectoryEntry("GC://DC=nsroot,DC=net");
var ds = new System.DirectoryServices.DirectorySearcher(globalCatalogDE);
ds.Filter = "(&(objectClass=user)(sAMAccountName=" + userId + "))";
System.DirectoryServices.DirectoryEntry userDE = ds.FindAll()[0].GetDirectoryEntry();

如何对属于我无法直接访问但在GC中可用的域的用户进行身份验证?

1 回复 | 直到 15 年前

Per Noalt 15 年前

您不能通过查看全局编录来验证用户,它仅用于搜索(任何标记为 isMemberOfPartialAttributeSet 在模式中,每个域都复制到GC)。

密码不会复制到它;否则,您将在每个域控制器上拥有整个forrest中所有用户的密码,这从安全和复制的角度来看是非常糟糕的。您需要建立到存储用户凭据的域的连接(即需要访问LDAP端口389或636)。

推荐文章

Xyro · Azure AD本地计算机限制

1 年前

rickymartino · PowerShell Active Directory-无法在筛选器中为Get-ADUser使用数组值

2 年前

dezox · 如何对Active Directory对象创建进行单元测试?

2 年前

ynick · C#:在AD中创建计算机对象失败,访问被拒绝

2 年前

user217648 · 在AD中处理帐户的正确方法是为不同的应用程序使用SSO

6 年前

J Weezy · Active Directory:调整函数性能以检索组成员

6 年前

J Weezy · Active Directory:此处是否存在无效字符转义以及如何处理

6 年前

Our Man in Bananas · PowerShell中Active Directory Get-ADComputer的LDAP查询

6 年前

Alok Patra · 如何将TFS与Active Directory(AD)集成

6 年前

user217648 · 具有除AD以外的其他用户注册表的ADF

6 年前