Voir si l'utilisateur fait partie du groupe Active Directory en C# + Asp.net

J'ai besoin d'un moyen de voir si un utilisateur fait partie d'un groupe active directory à partir de mon .Net 3.5 asp.net application en c#.

Je suis en utilisant le standard de l'authentification ldap exemple de msdn mais je ne vois pas vraiment comment vérifier l'encontre d'un groupe.

InformationsquelleAutor mike_h | 2010-02-03
  1. 38

    Avec 3,5 et Système.DirectoryServices.AccountManagement c'est un peu plus propre:

    public List<string> GetGroupNames(string userName)
{
  var pc = new PrincipalContext(ContextType.Domain);
  var src = UserPrincipal.FindByIdentity(pc, userName).GetGroups(pc);
  var result = new List<string>();
  src.ToList().ForEach(sr => result.Add(sr.SamAccountName));
  return result;
}
    • J'ai cette erreur sur le code ci: erreur Inconnue (0 x 80005000) Description: Une exception non gérée s'est produite pendant l'exécution de la demande web actuelle. Veuillez consulter la trace de la pile pour plus d'informations sur l'erreur et où elle a son origine dans le code. Détails De L'Exception: System.Moment de l'exécution.InteropServices.COMException: erreur Inconnue (0 x 80005000) de La ligne causant c'est: "var src = UserPrincipal.FindByIdentity(pc, nom d'utilisateur).GetGroups(pc);" des suggestions sur ce que le problème pourrait être? J'ai copié la fonction en tant que-est à partir de votre exemple.
    • êtes-vous sûr que le compte que vous utilisez a les autorisations de requête AD? De nombreux endroits ont anonymes se lie désactivé
    • Je suis en utilisant .NET 4.0 et j'ai dû changer cette ligne, var pc = new PrincipalContext(ContextType.Domain); à var pc = new PrincipalContext(ContextType.Domain, "MyDomainHere"); Pour se débarrasser de l'exception. Après qui fonctionne parfaitement.
    • pourquoi n'êtes-vous pas l'élimination PrincipalContext et UserPrincipal ?
    InformationsquelleAutor Nick Craver
  2. 19

    Nick Craver la solution ne fonctionne pas pour moi .NET 4.0. J'obtiens une erreur à propos d'un déchargé domaine d'application. Au lieu de l'utiliser, j'ai utilisé cette (nous n'avons qu'un seul domaine). Il s'agira de vérifier des groupes de groupes, ainsi que l'appartenance à un groupe.

    using System.DirectoryServices.AccountManagement;
using System.Linq;

...

using (var ctx = new PrincipalContext(ContextType.Domain, yourDomain)) {
    using (var grp = GroupPrincipal.FindByIdentity(ctx, IdentityType.Name, yourGroup)) {
        bool isInRole = grp != null && 
            grp
            .GetMembers(true)
            .Any(m => m.SamAccountName == me.Identity.Name.Replace(yourDomain + "\\", ""));
    }
}
    • Alors que j'utilise ce code, j'obtiens erreur de compilation sur .Tout() la méthode en disant: aucune méthode d'extension. Ai-je besoin d'ajouter toute autre utilisation ou référence?
    • vous avez besoin d'ajouter une instruction d'utilisation pour le Système.Linq
    • +1 pour montrer comment utiliser GetMembers(vrai), ce qui était exactement ce dont j'avais besoin à la vérification récursive pour les membres du groupe!
    InformationsquelleAutor Dave Markle
  3. 16

    Le code ci-dessous dans .net 4.0

    private static string[] GetGroupNames(string userName)
{
    List<string> result = new List<string>();

    using (PrincipalContext pc = new PrincipalContext(ContextType.Domain, "YOURDOMAIN"))
    {
        using (PrincipalSearchResult<Principal> src = UserPrincipal.FindByIdentity(pc, userName).GetGroups(pc))
        {
            src.ToList().ForEach(sr => result.Add(sr.SamAccountName));
        }
    }

    return result.ToArray();
}
    • La bonne réponse. Je vous remercie. Un couple très corrections mineures: initalize résultat pour le type que vous souhaitez revenir - c'est à dire de liste ou de tableau. remplacer cette ligne: src.ToList().ForEach(sr => résultat.Add(rs.SamAccountName)); avec cette: résultat = src.Sélectionnez(x => x.SamAccountName).ToList(); // ToArray si vous préférez
    InformationsquelleAutor Brandon Johnson
  4. 10

    Solution La Plus Simple

    PrincipalContext pc = new PrincipalContext((Environment.UserDomainName == Environment.MachineName ? ContextType.Machine : ContextType.Domain), Environment.UserDomainName);

GroupPrincipal gp = GroupPrincipal.FindByIdentity(pc, "{GroupName}");
UserPrincipal up = UserPrincipal.FindByIdentity(pc, Environment.UserName);
up.IsMemberOf(gp);
    InformationsquelleAutor Adam
  5. 7

    Cette méthode peut être utile si vous essayez de déterminer si le Windows authentifié l'utilisateur actuel est dans un rôle particulier.

    public static bool CurrentUserIsInRole(string role)
{
    try
    {
        return System.Web.HttpContext.Current.Request
                    .LogonUserIdentity
                    .Groups
                    .Any(x => x.Translate(typeof(NTAccount)).ToString() == role);
        }
        catch (Exception) { return false; }
    }
    InformationsquelleAutor p.campbell
  6. 5

    Cela dépend de ce que tu veux dire par la que si un utilisateur est dans un groupe d'ANNONCES. Dans la ma, les groupes peuvent être un groupe de Sécurité ou d'un groupe de Distribution. Même pour des groupes de sécurité, cela dépend si des groupes comme "Utilisateurs du Domaine" ou "Utilisateurs" ont besoin d'être inclus dans l'adhésion à vérifier.

    IsUserInSecurityGroup seulement pour les groupes de sécurité et de travail pour le Groupe Principal genre de groupes comme "Utilisateurs du Domaine" et "Utilisateurs", et non pas des groupes de distribution. Il permettra également de résoudre le problème avec les groupes imbriqués.
    IsUserInAllGroup vérifiera également pour les groupes de Distribution, mais je ne suis pas sûr que si vous exécutez dans les problèmes d'autorisation. Si vous le faites, l'utilisation d'un compte de service qui est en WAAG (Voir MSDN)

    La raison pour laquelle je ne suis pas à l'aide de UserPrincipal.GetAuthorizedGroups (), c'est parce qu'il a beaucoup de questions, telles que l'obligation de l'appelant en compte dans la WAAG et nécessitant il n'y a pas une entrée dans SidHistory (Voir David Thomas commentaire)

    public bool IsUserInSecurityGroup(string user, string group)
{
return IsUserInGroup(user, group, "tokenGroups");
}
public bool IsUserInAllGroup(string user, string group)
{
return IsUserInGroup(user, group, "tokenGroupsGlobalAndUniversal");
}
private bool IsUserInGroup(string user, string group, string groupType)
{
var userGroups = GetUserGroupIds(user, groupType);
var groupTokens = ParseDomainQualifiedName(group, "group");
using (var groupContext = new PrincipalContext(ContextType.Domain, groupTokens[0]))
{
using (var identity = GroupPrincipal.FindByIdentity(groupContext, IdentityType.SamAccountName, groupTokens[1]))
{
if (identity == null)
return false;
return userGroups.Contains(identity.Sid);
}
}
}
private List<SecurityIdentifier> GetUserGroupIds(string user, string groupType)
{
var userTokens = ParseDomainQualifiedName(user, "user");
using (var userContext = new PrincipalContext(ContextType.Domain, userTokens[0]))
{
using (var identity = UserPrincipal.FindByIdentity(userContext, IdentityType.SamAccountName, userTokens[1]))
{
if (identity == null)
return new List<SecurityIdentifier>();
var userEntry = identity.GetUnderlyingObject() as DirectoryEntry;
userEntry.RefreshCache(new[] { groupType });
return (from byte[] sid in userEntry.Properties[groupType]
select new SecurityIdentifier(sid, 0)).ToList();
}
}
}
private static string[] ParseDomainQualifiedName(string name, string parameterName)
{
var groupTokens = name.Split(new[] {"\\"}, StringSplitOptions.RemoveEmptyEntries);
if (groupTokens.Length < 2)
throw new ArgumentException(Resources.Exception_NameNotDomainQualified + name, parameterName);
return groupTokens;
}
    • Toutes les autres réponses sont fausses pour moi parce qu'ils ne prennent pas soin de groupes imbriqués. Merci.
    InformationsquelleAutor Terry Tsay
  7. 3

    Ici est mes 2 cents.

        static void CheckUserGroup(string userName, string userGroup)
{
var wi = new WindowsIdentity(userName);
var wp = new WindowsPrincipal(wi);
bool inRole = wp.IsInRole(userGroup);
Console.WriteLine("User {0} {1} member of {2} AD group", userName, inRole ? "is" : "is not", userGroup);
}
    InformationsquelleAutor Leonidius
  8. 3

    Cela semble beaucoup plus simple:

    public bool IsInRole(string groupname)
{
var myIdentity = WindowsIdentity.GetCurrent();
if (myIdentity == null) return false;
var myPrincipal = new WindowsPrincipal(myIdentity);
var result = myPrincipal.IsInRole(groupname);
return result;
}
    InformationsquelleAutor Randy Gamage
  10. 1

    Brandon Johnson, adoré, j'ai utilisé ce que vous avez eu, mais apporté la modification suivante:

    private static string[] GetGroupNames(string domainName, string userName)
{
List<string> result = new List<string>();
using (PrincipalContext principalContext = new PrincipalContext(ContextType.Domain, domainName))
{
using (PrincipalSearchResult<Principal> src = UserPrincipal.FindByIdentity(principalContext, userName).GetGroups(principalContext))
{
src.ToList().ForEach(sr => result.Add(sr.SamAccountName));
}
}
return result.ToArray();
}
    InformationsquelleAutor Bill Daugherty
  11. 1

    Vous pouvez essayer le code suivant:

    public bool Check_If_Member_Of_AD_Group(string username, string grouptoCheck, string domain, string ADlogin, string ADpassword)
{
    
     try {
        
        string EntryString = null;
        EntryString = "LDAP://" + domain;
        
        DirectoryEntry myDE = default(DirectoryEntry);
        
        grouptoCheck = grouptoCheck.ToLower();
        
        
        myDE = new DirectoryEntry(EntryString, ADlogin, ADpassword);
        
        DirectorySearcher myDirectorySearcher = new DirectorySearcher(myDE);
        
        myDirectorySearcher.Filter = "sAMAccountName=" + username;
        
        myDirectorySearcher.PropertiesToLoad.Add("MemberOf");
        
        SearchResult myresult = myDirectorySearcher.FindOne();
        
        int NumberOfGroups = 0;
        
        NumberOfGroups = myresult.Properties["memberOf"].Count - 1;
        
        string tempString = null;
        
        while ((NumberOfGroups >= 0)) {
            
            tempString = myresult.Properties["MemberOf"].Item[NumberOfGroups];
            tempString = tempString.Substring(0, tempString.IndexOf(",", 0));
            
            tempString = tempString.Replace("CN=", "");
            
            tempString = tempString.ToLower();
            tempString = tempString.Trim();
            
            if ((grouptoCheck == tempString)) {
                
                    
                return true;
            }
            
                
            NumberOfGroups = NumberOfGroups - 1;
        }
        
            
        return false;
    }
    catch (Exception ex) {
        
        System.Diagnostics.Debugger.Break();
    }
    //HttpContext.Current.Response.Write("Error: <br><br>" & ex.ToString)
}
    • Comme avec la colombie-britannique, en réponse, le code ci-dessus ne seront pas testées pour appartenance imbriquée
    • Ce code n'a même pas compiler en 3.5, C#, quel est le problème?
    InformationsquelleAutor Mick Walker
  12. 0
    var context = new PrincipalContext(ContextType.Domain, {ADDomain}, {ADContainer});
var group = GroupPrincipal.FindByIdentity(context, IdentityType.Name, {AD_GROUP_NAME});
var user = UserPrincipal.FindByIdentity(context, {login});
bool result = user.IsMemberOf(group);
    InformationsquelleAutor Captain Sensible
  13. 0

    Si vous voulez vérifier si l'utilisateur à des groupes d'appartenance, y compris les groupes imbriqués qui est indirectement lié à l'utilisateur groupe parent, vous pouvez essayer d'utiliser le "tokenGroups" propriétés comme ci-dessous:

    En Utilisant Le Système.DirectoryServices 
public static bool IsMemberOfGroupsToCheck(string DomainServer, chaîne identifiant de connexion, chaîne LoginPassword) 
{ 
chaîne UserDN = "CN=John.Doe-UN,OU=les Comptes d'Administration,OU=Répertoire de l'Utilisateur,DC=ABC,DC=com" 
chaîne ADGroupsDNToCheck = "CN=ADGroupTocheck,OU=Groupes d'Administration,OU=Répertoire des groupes,DC=ABC,DC=com"; 
byte[] sid, parentSID; 
bool check = false; 
DirectoryEntry parentEntry; 
DirectoryEntry basechildEntry; 
chaîne octetSID; 
basechildEntry = new DirectoryEntry("LDAP://" + DomainServer + "/" + UserDN, identifiant de connexion, LoginPassword); 
basechildEntry.RefreshCache(new String[] { "tokenGroups" }); 
parentEntry = new DirectoryEntry("LDAP://" + DomainServer + "/" + ADGroupsDNToCheck, identifiant de connexion, LoginPassword); 
parentSID = (byte[])parentEntry.Propriétés["objectSID"].Valeur; 
octetSID = ConvertToOctetString(parentSID, false, false); 
foreach(Object GroupSid dans basechildEntry.Propriétés["tokenGroups"]) 
{ 
sid = (byte[])GroupSid; 
si (ConvertToOctetString(sid,false,false) == octetSID) 
{ 
vérifiez = true; 
break; 
} 
} 
basechildEntry.Dispose(); 
parentEntry.Dispose(); 
de retour de chèque; 
}
    InformationsquelleAutor AsGoodAsLight