[英]Active Directory Properties
在有兩個關於stackoverflow的幫助下,我已經弄清楚了如何使用下面的代碼設置“用戶無法更改密碼”。 我現在正試圖找出如何刪除該屬性。 我以為將拒絕標志設置為“允許”會起作用,但似乎無濟於事。 我希望代碼盡可能使用DirectoryEntry而不是PrincipalContext,因為我不確定我的應用程序是否將在所有服務器上使用.NET 3.5。 任何幫助,將不勝感激。
string PASSWORD_GUID = "{ab721a53-1e2f-11d0-9819-00aa0040529b}";
string [] trustees = {"NT AUTHORITY\\SELF", "EVERYONE"};
ActiveDs.IADsSecurityDescriptor sd = (ActiveDs.IADsSecurityDescriptor)User.Properties["ntSecurityDescriptor"].Value;
ActiveDs.IADsAccessControlList acl = (ActiveDs.IADsAccessControlList) sd.DiscretionaryAcl;
ActiveDs.AccessControlEntry ace = new ActiveDs.AccessControlEntry();
double denied = (double)ActiveDs.ADS_ACETYPE_ENUM.ADS_ACETYPE_ACCESS_DENIED_OBJECT;
double objectType = (double)ActiveDs.ADS_FLAGTYPE_ENUM.ADS_FLAG_OBJECT_TYPE_PRESENT;
double dsControl = (double)ActiveDs.ADS_RIGHTS_ENUM.ADS_RIGHT_DS_CONTROL_ACCESS;
foreach (string trustee in trustees) {
ace.Trustee = trustee;
ace.AceFlags = 0;
ace.AceType = Convert.ToInt32(Math.Floor(denied));
ace.Flags = Convert.ToInt32(Math.Floor(objectType));
ace.ObjectType = PASSWORD_GUID;
ace.AccessMask = Convert.ToInt32(Math.Floor(dsControl));
acl.AddAce(ace);
}
sd.DiscretionaryAcl = acl;
User.Properties["ntSecurityDescriptor"].Value
= sd;
User.CommitChanges();
我更喜歡將System.DirectoryServices.AccountManagement命名空間用於這種情況(我認為需要.Net 3.5或更高版本)。 使用這些對象,您的調用變得更加簡單:
using (PrincipalContext pc = new PrincipalContext(ContextType.Domain, "Domain"))
{
UserPrincipal up = UserPrincipal.FindByIdentity(pc, "Domain\\User");
up.UserCannotChangePassword = false;
up.Save();
}
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.