獲取Active Directory組的成員，並檢查它們是否已啟用

Question

獲取給定AD組中所有成員/用戶列表並確定是否啟用（或禁用）用戶的最快方法是什么？

我們可能在談論2萬個用戶，因此我想避免為每個用戶打廣告。

Answer 1

如果您使用的是.NET 3.5及更高版本，則應簽出System.DirectoryServices.AccountManagement （S.DS.AM）命名空間。 在這里閱讀所有內容：

• 在.NET Framework 3.5中管理目錄安全主體
• System.DirectoryServices.AccountManagement上的MSDN文檔

基本上，您可以定義域上下文並輕松找到AD中的用戶和/或組：

// set up domain context
PrincipalContext ctx = new PrincipalContext(ContextType.Domain);

// find the group in question
GroupPrincipal group = GroupPrincipal.FindByIdentity(ctx, "YourGroupNameHere");

// if found....
if (group != null)
{
   // iterate over members
   foreach (Principal p in group.GetMembers())
   {
      Console.WriteLine("{0}: {1}", p.StructuralObjectClass, p.DisplayName);

      // do whatever you need to do to those members
      UserPrincipal theUser = p as UserPrincipal;

      if(theUser != null)
      {
          if(theUser.IsAccountLockedOut()) 
          {
               ...
          }
          else
          {
               ...
          }
      }
   }
}

新的S.DS.AM使得與AD中的用戶和組玩起來非常容易！

Answer 2

請您可以嘗試以下代碼。 它使用搜索過濾器語法在一個LDAP查詢中遞歸獲取您想要的內容。 有趣的是查詢是在服務器上完成的。 我不確定它是否比@marc_s解決方案快，但是它存在，並且可以在.NET 2.0框架（從W2K3 SP2開始）上運行。

string sFromWhere = "LDAP://WM2008R2ENT:389/dc=dom,dc=fr";
DirectoryEntry deBase = new DirectoryEntry(sFromWhere, "dom\\jpb", "test.2011");

/* To find all the users member of groups "Grp1"  :
 * Set the base to the groups container DN; for example root DN (dc=societe,dc=fr) 
 * Set the scope to subtree
 * Use the following filter :
 * (member:1.2.840.113556.1.4.1941:=CN=Grp1,OU=MonOu,DC=X)
 * coupled with LDAP_MATCHING_RULE_BIT_AND on userAccountControl with ACCOUNTDISABLE
 */
DirectorySearcher dsLookFor = new DirectorySearcher(deBase);
dsLookFor.Filter = "(&(memberof:1.2.840.113556.1.4.1941:=CN=MonGrpSec,OU=MonOu,DC=dom,DC=fr)(userAccountControl:1.2.840.113556.1.4.803:=2))";
dsLookFor.SearchScope = SearchScope.Subtree;
dsLookFor.PropertiesToLoad.Add("cn");

SearchResultCollection srcUsers = dsLookFor.FindAll();

/* Just to know if user is present in an other group
 */
foreach (SearchResult srcUser in srcUsers)
{
  Console.WriteLine("{0}", srcUser.Path);
}