ASP.NET - 获取DirectoryEntry / SID的主体/相对标识符(RID)
[英]ASP.NET - Get the Principal / Relative Identifier (RID) for a DirectoryEntry / SID
问题描述
我在自定义MembershipProvider类中使用Active Directory来验证ASP.NET 2.0 Intranet应用程序中的用户,并将其sid与应用程序的配置文件相关联。
使用ActiveDirectoryMembershipProvider , MembershipUser的ProviderUserKey对象如下所示
SecurityIdentifier sid = (SecurityIdentifier)Membership.GetUser().ProviderUserKey;
string sidValue = sid.ToString();
/* sidValue = "S-1-5-21-XXXX-XXXX-XXXX-YY" */
据我了解, YY是命名空间中的主体(也称为组/域)。
使用自定义MembershipProvider时,我可以使用DirectoryEntry对象的objectSid属性获取sid
DirectoryEntry entry = new DirectoryEntry(path, username, password);
SecurityIdentifier sid = new SecurityIdentifier((byte[])entry.Properties["objectSid"].Value, 0);
string sidValue = sid.ToString();
/* sidValue = "S-1-5-21-XXXX-XXXX-XXXX" */
在这种情况下, sidValue是相同的,除了它不包含主YY 。
我的问题是双重的
- 是否需要本人才能唯一地识别个人?
- 是否可以从DirectoryEntry对象(或通过
System.DirectoryServices可用的任何其他类)获取主体?
编辑:
做了一些进一步的阅读( {1} {2} )后,我现在知道如果用户从一个组/域移动到另一个组/域,sid可能会改变。 鉴于此,使用DirectoryEntry Properties["objectGUID"]定义的GUID是唯一标识用户的更好选择吗?
1 个解决方案
解决方案1
3 已采纳 2009-08-12 17:23:44
objectGUID是识别用户帐户的最佳选择。 我强调这一点,因为objectGUID是唯一的,并且对于帐户实例是固定的。 如果删除并重新创建具有相同distinguishedName的帐户,则会获得不同的objectGUID。 因此,objectGUID不识别用户,它识别帐户。
因此,如果要识别帐户,请使用objectGUID。
有时,管理员可以删除并重新创建帐户以解决问题。 如果您需要在发生这种情况后识别用户,则需要在帐户对象上选择其他内容。 这可能需要依赖于您的帐户定义政策。 也许你有sAMAccountNames不是基于用户的名字? 也许管理员填充employeeid或employeeNumber? 也许他们强制执行displayNames的唯一性?
这是AD属性信息的链接。 这是DirectoryEntry属性的链接。
DirectoryEntry 不返回 .NET 中的组成员,但在 ASP.NET 中有效
[英]DirectoryEntry not returning group members in .NET but works in ASP.NET
使用ASP.NET FriendlyUrls是否可以摆脱“索引”?
[英]Is it possible to get rid of “Index” with ASP.NET FriendlyUrls?
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.