Группа пользователей домена не получает для пользователя активного каталога

Question

Мы используем следующий код, чтобы получить группы пользователей активного каталога.

StringCollection groups = new StringCollection(); 

try 
{ 
    using (PrincipalContext pc = new PrincipalContext(ContextType.Domain, domainName, userName, password)) 
    { 
     //find user roles 
     UserPrincipal user = UserPrincipal.FindByIdentity(pc, IdentityType.SamAccountName, loginUserName); 

     if (user != null) 
     { 
     DirectoryEntry de = (DirectoryEntry)user.GetUnderlyingObject(); 
     object obGroups = de.Invoke("Groups");       

     foreach (object ob in (IEnumerable)obGroups) 
     { 
      DirectoryEntry obGpEntry = new DirectoryEntry(ob);        
      groups.Add(obGpEntry.Name); 
     }  
     } 
    } 
} 
catch (Exception e) 
{ 
} 

Это работает почти так, как ожидалось. Но пока мы проверяем пользователей с помощью группы Domain Users, метод не возвращает имя группы. Некоторые пользователи только с этой группой Domain Users, и пока мы вызываем этот метод для таких пользователей, он возвращает пустую группу.

Любые предложения, пожалуйста ..

Answer 1

Это хорошо известно и документально «упущение», что так называемая первичная группа не возвращенное методом Groups в этом коде. Есть несколько довольно загадочных путей вокруг этого - или попробуйте этот другой подход:

Если вы на .NET 3.5 и выше, вы должны проверить пространство имен System.DirectoryServices.AccountManagement (S.DS.AM). Читайте об этом здесь:

• Managing Directory Security Principals in the .NET Framework 3.5
• MSDN docs on System.DirectoryServices.AccountManagement

В принципе, вы можете определить контекст домена и легко найти пользователей и/или групп в AD:

// set up domain context 
PrincipalContext ctx = new PrincipalContext(ContextType.Domain); 

// find a user 
UserPrincipal user = UserPrincipal.FindByIdentity(ctx, "SomeUserName"); 

if(user != null) 
{ 
    // the call to .GetAuthorizationGroups() will return **all** groups that 
    // user is a member of - including the primary group and all nested 
    // group memberships, too! 
    var result = user.GetAuthorizationGroups(); 
} 

новый S.DS.AM позволяет очень легко играть с пользователями и группами в AD!

Update: если вы настаиваете на использовании старой унаследованной технологии, проверить this blog post by Ryan Dunn, который объясняет в деталях, как получить первичную группу для учетной записи AD в C#.