Добавление пользователей в универсальную группу AD из разных доменов C#

Question

У нас есть много доменов в том же лесу (например, sw.main.company.com, nw.main.company.com, main.company.com), и у меня есть контроль над OU в sw.main.company.com, где я создал универсальную группу Active Directory.

У меня нетрудно прагматично (C#) добавлять пользователей «sw» в группу с использованием System.DirectoryServices.AccountManagement .NET 4.5 и т. Д. На порт AD по умолчанию, но когда дело доходит до добавления пользователей из других доменов (nw, mw и т. д.), я получаю сообщение «HResult = -2147016651 Message = сервер не желает обрабатывать запрос» и «операция не разрешена через порт GC, данные 0, v1db1» при установке нового принципала PrincipalContext (ContextType.Domain) sw.main.company.com:3268 "," DC = main, DC = компания, DC = com ").

Все контроллеры домена также являются серверами глобального каталога, а вызывающий порт 3268 позволяет пользователям из других доменов правильно разрешать, но я не могу совершать добавления с помощью команды GlobalPrincipal.Save(), не вызывая ошибку.

Я включил соответствующий код ниже, а также подробный стек ошибок. Мне нужна помощь в этом.

public void SyncADUsers() 
{ 
    AddUserToGroup("MW\\abc123user", "Universal_Group_1"); 
} 

public void AddUserToGroup(string userId, string groupName) 
{ 
    try 
    { 
     using (PrincipalContext pc = new PrincipalContext(ContextType.Domain, "sw.main.company.com:3268", "DC=main,DC=company,DC=com")) 
     { 
      GroupPrincipal group = GroupPrincipal.FindByIdentity(pc, groupName); 
      group.Members.Add(pc, IdentityType.SamAccountName, userId); 
      group.Save(); 
     } 
    } 
    catch (System.DirectoryServices.DirectoryServicesCOMException E) 
    { 
     //doSomething with E.Message.ToString(); 
    } 
} 

System.InvalidOperationException был необработанным HResult = -2146233079 Сообщения = Сервер не обрабатывают запрос. Source = System.DirectoryServices.AccountManagement StackTrace: в System.DirectoryServices.AccountManagement.ADStoreCtx.UpdateGroupMembership (учетная запись Principal, учетные данные DirectoryEntry, NetCred, authTypes AuthenticationTypes) в System.DirectoryServices.AccountManagement.SDSUtils.ApplyChangesToDirectory (Principal p, StoreCtx storeCtx, GroupMembershipUpdater updateGroupMembership, учетные данные NetCred, AuthenticationTypes authTypes) в System.DirectoryServices.AccountManagement.ADStoreCtx.Update (Principal p) в System.DirectoryServices.AccountManagement.Principal.Save() в ExampleUsers.SyncAD.AddUserToGroup (String userId, String groupName) в c : \ SourceControl \ ExampleUsers \ ExampleUsers \ SyncAD.cs: строка 33 в ExampleUsers.SyncAD.SyncADUsers() в c: \ SourceControl \ ExampleUsers \ ExampleUsers \ SyncAD.cs: строка 18 в ExampleUsers.Program.Main (String [] args) в c: \ SourceControl \ ExampleUsers \ ExampleUsers \ Program.cs: строка 62 в System.AppDomain._nExecuteAssembly (RuntimeAssem bly assembly, String [] args) в System.AppDomain.ExecuteAssembly (String assemblyFile, Evidence assemblySecurity, String [] args) в Microsoft.VisualStudio.HostingProcess.HostProc.RunUsersAssembly() в System.Threading.ThreadHelper.ThreadStart_Context (состояние объекта) в System.Threading.ExecutionContext.RunInternal (ExecutionContext executeContext, ContextCallback callback, состояние объекта, Boolean preserveSyncCtx) в System.Threading.ExecutionContext.Run (ИсполнениеКонтекстовое исполнениеКонтекст, Обратный вызов ContextCallback, Состояние объекта, Boolean preserveSyncCtx) в System.Threading.ExecutionContext.Run (ExecutionContext executeContext, ContextCallback callback, состояние объекта) в System.Threading.ThreadHelper.ThreadStart() InnerException: System.DirectoryServices.DirectoryServicesCOMException HResult = -2147016651 Сообщение = Сервер не хочет обрабатывать запрос. Source = System.DirectoryServices ErrorCode = -2147016651 ExtendedError = 8245 ExtendedErrorMessage = 00002035: LdapErr: DSID-0C090B3E, комментарий: операция не разрешена через порт GC, данные 0, v1db1 StackTrace: в System.DirectoryServices.DirectoryEntry.CommitChanges() в системе .DirectoryServices.AccountManagement.ADStoreCtx.UpdateGroupMembership (Основная группа, DirectoryEntry де, NetCred полномочия, AuthenticationTypes authTypes) InnerException:

Answer 1

Относительно ответа BaldPate, если глобальный каталог доступен только для чтения, нам необходимо прочитать и разрешить пользователей в разных доменах с использованием порта 3268, а затем СОХРАНИТЬ пользователей, используя порт 389, все в том же контексте. Это можно сделать с помощью следующего кода (обратите внимание на отдельные вызовы на 3268 и по умолчанию 389 портов), и благодаря BaldPate для этого ясно:

using System; 
using System.Collections; 
using System.Data; 
using System.Data.SqlClient; 
using System.Collections.Generic; 
using System.DirectoryServices.AccountManagement; 
using System.Linq; 
using System.Text; 
using System.Threading.Tasks; 
using System.Configuration; 

namespace OurUsers 
{ 
class SyncAD 
{ 
    #region Variables 

    private string sDomain = "sw.main.company.com"; 
    private string sDomainGC = "sw.main.company.com:3268"; 
    private string sDefaultOU = "DC=sw,DC=main,DC=company,DC=com"; 
    private string sDefaultRootOU = "DC=main,DC=company,DC=com"; 
    private string sGroupName = "Production_Universal_AD_Group"; 
    private string connectionString = "Server=OurServerName\\PROD; Integrated Security=True; Initial Catalog=OurUsers"; 
    private string sqlAdd = "SELECT FullID FROM ViewFolkstoAdd"; 
    private string sqlRemove = "SELECT FullID FROM ViewFolkstoRemove"; 

    #endregion 
    public void SyncADUsers() 
    { 
     // Get Database Ready and Remove Users 
     SqlConnection connectionRemove = new SqlConnection(connectionString); 
     SqlCommand commandRemove = new SqlCommand(sqlRemove, connectionRemove); 
     connectionRemove.Open(); 
     SqlDataReader readerRemove = commandRemove.ExecuteReader(); 

     if (readerRemove.HasRows) 
     { 
      int i = 0; 
      while (readerRemove.Read()) 
      { 
       string sUserName = readerRemove.GetString(0); 
       RemoveUserFromGroup(sUserName, sGroupName); 
       i = i + 1; 
       Console.WriteLine("{0} {1}", i, sUserName); 
      } 
     } 
     else 
     { 
      Console.WriteLine("No rows found."); 
     } 
     readerRemove.Close(); 

     // Get Database Ready and Add Users 
     SqlConnection connectionAdd = new SqlConnection(connectionString); 
     SqlCommand commandAdd = new SqlCommand(sqlAdd, connectionAdd); 
     connectionAdd.Open(); 
     SqlDataReader readerAdd = commandAdd.ExecuteReader(); 

     if (readerAdd.HasRows) 
     { 
      int i = 0; 
      while (readerAdd.Read()) 
      { 
       string sUserName = readerAdd.GetString(0); 
       AddUserToGroup(sUserName, sGroupName); 
       i = i + 1; 
       Console.WriteLine("{0} {1}", i, sUserName); 
      } 
     } 
     else 
     { 
      Console.WriteLine("No rows found."); 
     } 
     readerAdd.Close(); 
    } 

    /// Gets a certain user on Active Directory 
    /// Returns the UserPrincipal Object 
    public UserPrincipal GetUser(string sUserName) 
    { 
     PrincipalContext oPrincipalContext = GetPrincipalContextGC(); 
     UserPrincipal oUserPrincipal = UserPrincipal.FindByIdentity(oPrincipalContext, sUserName); 
     return oUserPrincipal; 
    } 

    /// Adds the user for a given group 
    /// Returns true if successful 
    public bool AddUserToGroup(string sUserName, string sGroupName) 
    { 
     try 
     { 
      UserPrincipal oUserPrincipal = GetUser(sUserName); 
      GroupPrincipal oGroupPrincipal = GetGroup(sGroupName); 
      if (oUserPrincipal != null && oGroupPrincipal != null) 
      { 
       oGroupPrincipal.Members.Add(oUserPrincipal); 
       oGroupPrincipal.Save(); 
      } 
      return true; 
     } 
     catch 
     { 
      return false; 
     } 
    } 

    /// Removes user from a given group 
    /// Returns true if successful 
    public bool RemoveUserFromGroup(string sUserName, string sGroupName) 
    { 
     try 
     { 
      UserPrincipal oUserPrincipal = GetUser(sUserName); 
      GroupPrincipal oGroupPrincipal = GetGroup(sGroupName); 
      if (oUserPrincipal != null && oGroupPrincipal != null) 
      { 
       oGroupPrincipal.Members.Remove(oUserPrincipal); 
       oGroupPrincipal.Save(); 
      } 
      return true; 
     } 
     catch 
     { 
      return false; 
     } 
    } 

    /// Gets PrincipalContext from the Local Domain 
    /// Returns the PrincipalContext 
    public PrincipalContext GetPrincipalContext() 
    { 
     PrincipalContext oPrincipalContext = new PrincipalContext(ContextType.Domain, sDomain, sDefaultOU, ContextOptions.Negotiate); 
     return oPrincipalContext; 
    } 

    /// Gets PrincipalContext from the Global Catalog 
    /// Returns the PrincipalContext 
    public PrincipalContext GetPrincipalContextGC() 
    { 
     PrincipalContext oPrincipalContext = new PrincipalContext(ContextType.Domain, sDomainGC, sDefaultRootOU, ContextOptions.Negotiate); 
     return oPrincipalContext; 
    } 

    /// Gets a certain group on Active Directory 
    /// Returns the GroupPrincipal Object 
    public GroupPrincipal GetGroup(string sGroupName) 
    { 
     PrincipalContext oPrincipalContext = GetPrincipalContext(); 
     GroupPrincipal oGroupPrincipal = GroupPrincipal.FindByIdentity(oPrincipalContext, sGroupName); 
     return oGroupPrincipal; 
    } 
} 
} 

Answer 2

Глобальный каталог доступен только для чтения.

Чтобы обновить группу, подключайтесь к порту LDAP (по умолчанию 389).