Запрос LDAP Active Directory по sAMAccountName и домену
Как выполнить запрос хранилища LDAP по sAMAccountName и Domain? Как называется свойство "домен" в терминах Active Directory или LDAP?
Это то, что у меня есть для фильтра до сих пор. Я хотел бы иметь возможность добавлять в домен:
(&(objectCategory=Person)(sAMAccountName=BTYNDALL))
7 ответов
во-первых, измените фильтр поиска, чтобы искать только пользователей, а не Контакты:
(&(objectCategory=person)(objectClass=user)(sAMAccountName=BTYNDALL))
вы можете перечислить все домены леса, подключившись к разделу конфигурации и перечислив все записи в контейнере разделов. Извините, у меня сейчас нет кода C#, но вот код vbscript, который я использовал в прошлом:
Set objRootDSE = GetObject("LDAP://RootDSE")
AdComm.Properties("Sort on") = "name"
AdComm.CommandText = "<LDAP://cn=Partitions," & _
objRootDSE.Get("ConfigurationNamingContext") & ">;" & _
"(&(objectcategory=crossRef)(systemFlags=3));" & _
"name,nCName,dnsRoot;onelevel"
set AdRs = AdComm.Execute
из этого вы можете получить имя и dnsRoot каждого раздела:
AdRs.MoveFirst
With AdRs
While Not .EOF
dnsRoot = .Fields("dnsRoot")
Set objOption = Document.createElement("OPTION")
objOption.Text = dnsRoot(0)
objOption.Value = "LDAP://" & dnsRoot(0) & "/" & .Fields("nCName").Value
Domain.Add(objOption)
.MoveNext
Wend
End With
вы можете использовать следующие запросы
Пользователи, Имя входа которых (до Windows 2000) равно Джон
(&(objectCategory=person)(objectClass=user)(!sAMAccountType=805306370)(sAMAccountName=**John**))
Все Пользователи
(&(objectCategory=person)(objectClass=user)(!sAMAccountType=805306370))
Пользователей
(&(objectCategory=person)(objectClass=user)(!sAMAccountType=805306370)(!userAccountControl:1.2.840.113556.1.4.803:=2))
Заблокированные Пользователи
(&(objectCategory=person)(objectClass=user)(!sAMAccountType=805306370)(userAccountControl:1.2.840.113556.1.4.803:=2))
LockedOut Пользователи
(&(objectCategory=person)(objectClass=user)(!sAMAccountType=805306370)(lockouttime>=1))
на лучший способ искать пользователи is (sAMAccountType=805306368).
или для пользователей с ограниченными возможностями:
(&(sAMAccountType=805306368)(userAccountControl:1.2.840.113556.1.4.803:=2))
или для активных пользователей:
(&(sAMAccountType=805306368)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))
Я нахожу LDAP не таким легким, как предполагалось.
Также ресурс для общие запросы LDAP - пытались найти их самостоятельно, и вы будете драгоценное время и наверняка ошибается.
в отношении Домены: это невозможно в одном запросе, потому что домен является частью пользователя distinguisedName (DN), который в Microsoft AD не доступен для поиска путем частичного сопоставления.
"домен" не является свойством объекта LDAP. Это больше похоже на имя база данных объект хранится в.
таким образом, вы должны подключиться к правильной базе данных (в терминах LDAP: "привязка к домену / серверу каталогов") для выполнения поиска в базе данных.
после успешной привязки ваш запрос в текущей форме-это все, что вам нужно.
BTW: выбор "ObjectCategory=Person" над "ObjectClass=user" было хорошим решением. в объявлениях, первый является "индексируемым свойством" с отличной производительностью, последний не индексируется и немного медленнее.
вы должны выполнить поиск в домене:
http://msdn.microsoft.com/en-us/library/ms677934 (VS.85).aspx Таким образом, в основном ваш должен привязываться к домену для поиска внутри этого домена.
Если вы используете .NET, используйте DirectorySearcher класса. Вы можете передать свой домен в качестве строки в конструктор.
// if you domain is domain.com...
string username = "user"
string domain = "LDAP://DC=domain,DC=com";
DirectorySearcher search = new DirectorySearcher(domain);
search.Filter = "(SAMAccountName=" + username + ")";
Я написал класс C#, включающий
- алгоритм из Dscoduc,
- оптимизация запросов от sorin,
- кэш для сопоставления домена с сервером и
- метод поиска имени учетной записи в формате DOMAIN\sAMAccountName.
однако он не знает сайта.
using System;
using System.Collections.Generic;
using System.DirectoryServices;
using System.Linq;
using System.Text;
public static class ADUserFinder
{
private static Dictionary<string, string> _dictDomain2LDAPPath;
private static Dictionary<string, string> DictDomain2LDAPPath
{
get
{
if (null == _dictDomain2LDAPPath)
{
string configContainer;
using (DirectoryEntry rootDSE = new DirectoryEntry("LDAP://RootDSE"))
configContainer = rootDSE.Properties["ConfigurationNamingContext"].Value.ToString();
using (DirectoryEntry partitionsContainer = new DirectoryEntry("LDAP://CN=Partitions," + configContainer))
using (DirectorySearcher dsPartitions = new DirectorySearcher(
partitionsContainer,
"(&(objectcategory=crossRef)(systemFlags=3))",
new string[] { "name", "nCName", "dnsRoot" },
SearchScope.OneLevel
))
using (SearchResultCollection srcPartitions = dsPartitions.FindAll())
{
_dictDomain2LDAPPath = srcPartitions.OfType<SearchResult>()
.ToDictionary(
result => result.Properties["name"][0].ToString(), // the DOMAIN part
result => $"LDAP://{result.Properties["dnsRoot"][0]}/{result.Properties["nCName"][0]}"
);
}
}
return _dictDomain2LDAPPath;
}
}
private static DirectoryEntry FindRootEntry(string domainPart)
{
if (DictDomain2LDAPPath.ContainsKey(domainPart))
return new DirectoryEntry(DictDomain2LDAPPath[domainPart]);
else
throw new ArgumentException($"Domain \"{domainPart}\" is unknown in Active Directory");
}
public static DirectoryEntry FindUser(string domain, string sAMAccountName)
{
using (DirectoryEntry rootEntryForDomain = FindRootEntry(domain))
using (DirectorySearcher dsUser = new DirectorySearcher(
rootEntryForDomain,
$"(&(sAMAccountType=805306368)(sAMAccountName={EscapeLdapSearchFilter(sAMAccountName)}))" // magic number 805306368 means "user objects", it's more efficient than (objectClass=user)
))
return dsUser.FindOne().GetDirectoryEntry();
}
public static DirectoryEntry FindUser(string domainBackslashSAMAccountName)
{
string[] domainAndsAMAccountName = domainBackslashSAMAccountName.Split('\');
if (domainAndsAMAccountName.Length != 2)
throw new ArgumentException($"User name \"{domainBackslashSAMAccountName}\" is not in correct format DOMAIN\SAMACCOUNTNAME", "DomainBackslashSAMAccountName");
string domain = domainAndsAMAccountName[0];
string sAMAccountName = domainAndsAMAccountName[1];
return FindUser(domain, sAMAccountName);
}
/// <summary>
/// Escapes the LDAP search filter to prevent LDAP injection attacks.
/// Copied from https://stackoverflow.com/questions/649149/how-to-escape-a-string-in-c-for-use-in-an-ldap-query
/// </summary>
/// <param name="searchFilter">The search filter.</param>
/// <see cref="https://blogs.oracle.com/shankar/entry/what_is_ldap_injection" />
/// <see cref="http://msdn.microsoft.com/en-us/library/aa746475.aspx" />
/// <returns>The escaped search filter.</returns>
private static string EscapeLdapSearchFilter(string searchFilter)
{
StringBuilder escape = new StringBuilder();
for (int i = 0; i < searchFilter.Length; ++i)
{
char current = searchFilter[i];
switch (current)
{
case '\':
escape.Append(@"c");
break;
case '*':
escape.Append(@"a");
break;
case '(':
escape.Append(@"");
break;
case ')':
escape.Append(@"");
break;
case '\u0000':
escape.Append(@"");
break;
case '/':
escape.Append(@"f");
break;
default:
escape.Append(current);
break;
}
}
return escape.ToString();
}
}