递归检查活动目录组成员身份

Question

所以我有一个关于活动目录中递归组的问题。我有一个小方法可以检查用户 ID 是否在组中。效果很好。今天发现它不检查递归组成员身份，我不太确定如何（或是否）有办法做到这一点。到目前为止，这是我对非递归的了解：

public static bool CheckGroupMembership(string userID, string groupName, string Domain)
{
  bool isMember = false;

  PrincipalContext ADDomain = new PrincipalContext(ContextType.Domain, Domain);
  UserPrincipal user = UserPrincipal.FindByIdentity(ADDomain, userID);

  if (user.IsMemberOf(ADDomain, IdentityType.Name, groupName.Trim()))
  {
    isMember = true;
  }

  return isMember;
}

我已经看到了一些关于目录搜索器或其他东西的东西，但我对直接使用 AD 有点陌生，虽然我理解了这些概念，但我仍然对其他一些东西有点迷茫。

谢谢！

Answer 1

您也可以使用GroupPrincipal.GetMembers的递归选项进行检查。

public static bool CheckGroupMembership(string userID, string groupName, string Domain) {
    bool isMember = false;

    PrincipalContext ADDomain = new PrincipalContext(ContextType.Domain, Domain);
    UserPrincipal user = UserPrincipal.FindByIdentity(ADDomain, userID);
    GroupPrincipal group = GroupPrincipal.FindByIdentity(ADDomain, groupName);

    if ((user != null) && (group != null)) {
        isMember = group.GetMembers(true).Contains(user);
    }

    return isMember;
}

Answer 2

这是使用System.DirectoryServices.AccountManagement Namespace 的解决方案。这是一种递归解决方案。在Find Recursive Group Membership (Active Directory) using C# 中，我给出了一个递归解决方案，它也适用于通讯组。

/* Retreiving a principal context
 */
Console.WriteLine("Retreiving a principal context");
PrincipalContext domainContext = new PrincipalContext(ContextType.Domain, "WM2008R2ENT:389", "dc=dom,dc=fr", "jpb", "PWD");


/* Look for all the groups a user belongs to
 */
UserPrincipal aUser = UserPrincipal.FindByIdentity(domainContext, "user1");
PrincipalSearchResult<Principal> a =  aUser.GetAuthorizationGroups();

foreach (GroupPrincipal gTmp in a)
{
  Console.WriteLine(gTmp.Name);    
}