使用 Active Directory 获取角色列表，域明智

Question

我试图在 C# 中列出来自 Active Directory 的角色列表，但到目前为止我发现的唯一答案是绑定到特定用户的角色列表，而不是域明智的所有角色列表。

这是我找到的sn-p here

// set up domain context
using (PrincipalContext ctx = new PrincipalContext(ContextType.Domain))
{
   // find a user
   UserPrincipal user = UserPrincipal.FindByIdentity(ctx, "SomeUserName");

   if(user != null)
   {
       // get the authorization groups - those are the "roles" 
       var groups = user.GetAuthorizationGroups();

       foreach(Principal principal in groups)
       {
           // do something with the group (or role) in question
       }
   }
}

如您所见，获取角色列表的唯一方法是使用绑定到用户的UserPrincipal 对象。我想列出可以分配给来自特定域的用户的所有可能角色。

顺便说一句，我不太了解 Active Directory 中的用户/组/角色层次结构，因此在考虑该结构的工作原理时我可能会出错，假设角色只是一种特殊的组。

Answer 1

您可以使用PrincipalSearcher 和“示例查询”主体进行搜索：

// create your domain context
using (PrincipalContext ctx = new PrincipalContext(ContextType.Domain))
{
   // define a "query-by-example" principal - here, we search for a GroupPrincipal 
   GroupPrincipal qbeGroup = new GroupPrincipal(ctx);

   // create your principal searcher passing in the QBE principal    
   PrincipalSearcher srch = new PrincipalSearcher(qbeGroup);

   // find all matches
   foreach(var found in srch.FindAll())
   {
       // do whatever here - "found" is of type "Principal" - it could be user, group, computer....
   }
}

此搜索从当前连接域的顶级开始，并枚举该域中的所有组。现在，它们既可以是安全组，也可以是通讯组列表组 - 如果您想获得 安全组（真正对应于“角色”），您可以像这样调整您的搜索器：

 GroupPrincipal qbeGroup = new GroupPrincipal(ctx);
 qbeGroup.IsSecurityGroup = true;

有关更多详细信息，请参阅MSDN documentation on the System.DirectoryServices.AccountManagement 命名空间。