L'ajout et la suppression d'utilisateurs à partir d'Active Directory groupes .NET

Je suis en train d'écrire les méthodes suivantes pour ajouter et supprimer des utilisateurs à partir d'active directory en C#.

void AddUserToGroup(string userId, string groupName);
void RemoveUserFromGroup(string userId, string groupName);

La meilleure façon de mettre en œuvre ces méthodes?

Voici un code de CodeProject. Je ne vois pas où le serveur de publicité est spécifié dans ces exemples, si? (est-il implicitement fourni par le .NET framework lors de l'utilisation du protocole LDAP?). Ces exemples à suivre?

public void AddToGroup(string userDn, string groupDn)
{
    try
    {
        DirectoryEntry dirEntry = new DirectoryEntry("LDAP://" + groupDn);
        dirEntry.Properties["member"].Add(userDn);
        dirEntry.CommitChanges();
        dirEntry.Close();
    }
    catch (System.DirectoryServices.DirectoryServicesCOMException E)
    {
        //doSomething with E.Message.ToString();

    }
}


public void RemoveUserFromGroup(string userDn, string groupDn)
{
    try
    {
        DirectoryEntry dirEntry = new DirectoryEntry("LDAP://" + groupDn);
        dirEntry.Properties["member"].Remove(userDn);
        dirEntry.CommitChanges();
        dirEntry.Close();
    }
    catch (System.DirectoryServices.DirectoryServicesCOMException E)
    {
        //doSomething with E.Message.ToString();

    }
}

InformationsquelleAutor Ben | 2010-01-26

77

Ugh. LDAP. Si vous êtes en utilisant le .Net Framework 3.5 ou au-dessus, je recommande fortement d'utiliser le Système.DirectoryServices.AccountManagement espace de noms. Qui rend les choses donc beaucoup plus facile.
```
public void AddUserToGroup(string userId, string groupName) 
{ 
    try 
    { 
        using (PrincipalContext pc = new PrincipalContext(ContextType.Domain, "COMPANY"))
        {
            GroupPrincipal group = GroupPrincipal.FindByIdentity(pc, groupName);
            group.Members.Add(pc, IdentityType.UserPrincipalName, userId);
            group.Save();
        }
    } 
    catch (System.DirectoryServices.DirectoryServicesCOMException E) 
    { 
        //doSomething with E.Message.ToString(); 

    } 
} 

public void RemoveUserFromGroup(string userId, string groupName)
{   
    try 
    { 
        using (PrincipalContext pc = new PrincipalContext(ContextType.Domain, "COMPANY"))
        {
            GroupPrincipal group = GroupPrincipal.FindByIdentity(pc, groupName);
            group.Members.Remove(pc, IdentityType.UserPrincipalName, userId);
            group.Save();
        }
    } 
    catch (System.DirectoryServices.DirectoryServicesCOMException E) 
    { 
        //doSomething with E.Message.ToString(); 

    }
}
```
- Système.DirectorServices.AccountManagement est uniquement disponible en >= 3.5, plutôt que de 3.0
- Ci-dessous le code a fonctionné pour moi groupe.Les membres de l'.Supprimer(UserPrincipal.FindByIdentity(pc, userId)); au lieu de "du groupe.Les membres de l'.Supprimer(pc, IdentityType.UserPrincipalName, userId);" . Note: mon id d'utilisateur est "nom d'utilisateur" sans ajouter avec nom de domaine
- Ouais, la surcharge de travaux, trop, c'est juste un appel supplémentaire dans le service LDAP pour obtenir l'identité de l'utilisateur avant d'envoyer la suppression de l'appel. Franchement, il est possible qu'elles sont équivalentes en fonction de l'API probablement d'appels dans le LDAP de l'identité basée sur le nom d'utilisateur avant de procéder à l'enlever, trop.
- Eu un problème similaire à celle décrite ci-dessus. J'ai dû changer la ligne qui supprime l'utilisateur du groupe de IdentityType.UserPrincipalName à IdentityType.SAMAccountName
- Qu'est-ce que nom d'utilisateur ?
- Le seul problème avec le Système.DirectorServices.AccountManagement, c'est que si la machine n'est pas dans le domaine, il me met une erreur >.<
- Je sais qu'il a été dit dans les commentaires ci-dessus, mais il n'était pas précisé. Si vous envoyez DOMAIN\someUserId en votre qualité d'utilisateur, vous devez le modifier pour IdentityType.SamAccountName, au lieu de UserPrincipalName. Ce dernier vous donnera une exception: No principal matching the specified parameters was found. Mais notez, aussi, il vous donnera également une exception avec SamAccountName, si l'utilisateur est déjà dans le groupe.
- Sur la suppression de la part du groupe - si l'utilisateur n'a jamais été dans le groupe pour commencer, il ne fournit pas une exception, il suffit d'aller à travers le .Save() fonctionnement, peu importe. Vous devez vérifier si le UserPrincipal objet pour l'utilisateur .IsMemberOf(group), pour découvrir cette. Soumis une modification. userId devrait être dans DOMAIN\username formulaire à envoyer à UserPrincipal.FindByIdentity(pc, userId);, cependant, qui aurait besoin d' SamAccountName dans le IdentityType.
- Je ne posterais que comme une réponse distincte--qui m'a aidé à une tonne!
- Ce n' company signifie que les deux méthode?
InformationsquelleAutor Jacob Proffitt
3

Le serveur fait partie de la nom_unique_groupe valeur de la variable. Par exemple:

LDAP://myServer/CN=MyGroup,CN=Groupes,CN=MyContainer,DN=mydomain.com

L'ensemble de la chose, c'est le chemin LDAP pour le groupe. La première partie (monserveur) est le nom du serveur.

La partie après le nom du serveur (par exemple, CN=...) est le DN (distinguished name) du groupe.
- La seule chose que je voudrais dire, c'est que, dans une bonne ANNONCE de l'installation, vous ne devriez pas avoir à spécifier le serveur. L' .NET AD/faible niveau des appels d'ANNONCE devrait résoudre le plus proche de serveur disponible pour vous. Mais ce n'est plus AD/domaine d'installation et pas tellement de code. Si votre ANNONCE de configuration est solide, vous devriez être en mesure d'exclure le serveur (ex: LDAP://CN=MyGroup,CN=Groupes,CN=MyContainer,DN=mydomain.com)
- Désolé de ne pas vraiment répondre à vos questions. oui, les exemples ne semblent propres. Si vous hésitez encore, je vous recommande fortement le .NET Guide du Développeur pour les Services d'Annuaire de Programmation (amazon.com/gp/product/0321350170)
InformationsquelleAutor Mike Marshall
2

Lors de la suppression d'un membre dans
public void RemoveUserFromGroup(string userDn, string groupDn)

dirEntry.Properties["member"].Remove(userDn) ne fonctionne pas pour moi.

dirEntry.Properties["member"].RemoveAt(dn.IndexOf(dn)) œuvres.
- Qu'est-ce que le dn variable?
- dans le contexte d'un Active Directory, dn signifie presque toujours DistinguishedName.
InformationsquelleAutor Andy
1

Vous pouvez mettre le serveur LDAP à l'argument de chemin de DirectoryEntry, donc "LDAP://" + ldapServer + ldapQuery.

Utiliser le DirectoryEntry(String path, String l'identifiant, le mot de passe de Chaîne) si vous devez vous authentifier

InformationsquelleAutor Mason

Vous devez vous connecter pour publier un commentaire.