我正在编写一个应用程序来管理 AD 权限组。 但是,AD 中没有一些需要的字段,例如“主要所有者”、“次要所有者”、“审核日期”和历史日志。 我计划有一个单独的 SQL Server 数据库来保存这些数据并使用组的系统 ID 来加入数据。
我的问题是:我可以让 SQL Server 数据库在 AD 发生变化时与 AD 中的内容同步吗?也许存在一些听力工具? LDAP可以用来解决这个问题吗?
如果数据库每晚更新可能会出现的一个问题是,如果在 AD 中创建了一个新组,则需要为其分配主要和次要所有者,但是 新组的 SID 不会立即出现在 SQL Server 数据库中。
【问题讨论】:
标签: sql-server active-directory synchronization ldap active-directory-group
我对 SQL Server 不熟悉,所以我不知道它是否具有与 AD 同步的特殊功能。
我知道,如果您想使用 LDAP 跟踪 AD 中的更改,有几种不同的解决方案。您可以在此MSDN article 中找到可用技术的概述。
我最近开源了 ADSync4J,这是一个小型 Java 库,可以帮助您实现文章中提到的第三种技术 (Polling for Changes Using USNChanged)。但是,如果您的目标平台不是 JVM,这将无济于事。
【讨论】:
我们使用一个用 C# 编写的控制台应用程序,它在批处理上运行以读取 AD 信息并将其插入到 SQL 表中。这几乎可以使用任何具有 LDAP 绑定的语言来完成,但取决于您的 AD 目录的大小,这可能会影响性能。
似乎确实有一种方法可以直接使用 SQL 进行查询(尽管有一些警告,即最大结果集大小和不支持多值参数)。许多文章都来自快速的谷歌搜索,例如; https://www.mssqltips.com/sqlservertip/2580/querying-active-directory-data-from-sql-server/
【讨论】: