“域用户” 当我使用 DirectoryServices“member”时，组为空 财产

Question

我使用以下代码来获取我的域中的组的成员：

  Dim de As New DirectoryEntry("LDAP://" & GroupDN)

  For Each user As String In CType(de.Properties("member"), IEnumerable)

          GroupCollection.Add(Username, Username)

  Next

我的问题是，当 GroupDN （组的专有名称）为“CN=Domain Users,CN=Users,DC=Mydomain,DC =local”，For...Each循环不执行，当我手动检查Properties语句时，它的计数为零。 这似乎适用于我域中的所有其他组，但“域用户”组应该包含所有人，但它似乎不包含任何人。

我已经检查过，该组在我的 Windows AD 工具中正确列出了每个人。 我在这里缺少什么明显的东西吗？ 顺便说一句，是否有更好的方法来获取组中的所有成员？

Answer 1

除非您更改用户的主组 ID，否则该用户不会存储在域用户组的成员属性中，而是使用主组 ID 设置为域用户 RID 的事实来确定域用户中的成员身份。 正常情况是Domain Users成员属性为空； 为了避免这种情况，您需要对默认的 Active Directory 实现进行一些更改。

域用户组使用
基于的“计算”机制
用户的“主要组 ID”
确定成员资格，并且不
通常将成员存储为
多值链接属性。 如果
用户的主要组已更改，
他们在域用户中的成员身份
组被写入链接
组的属性，并且是 no
计算时间较长。 这对于
Windows 2000 并没有改变
Windows Server 2003。

参考

Answer 2

接受的答案绝对正确。 默认情况下，每个（用户）对象都在属性 513 ="nofollow noreferrer">primarygroupid，这是 域用户 sid。 但是：这可以更改，并且可以在那里配置所有其他组，因此我们不能依赖它。

以下是如何获取组成员的示例方法（无论默认值是保留还是更改）。 我在对 Active Directory 组的成员进行任何查询之后调用这样的方法。 在此示例中，我得到了一组可分辨名称作为结果。 但所有其他属性都是可能的，只需将它们添加到 dSearcher.PropertiesToLoad.Add(...) 并修改结果即可。

我知道，这是一个关于VB的问题，我希望它很容易移植。

    using System.DirectoryServices;
    using System.Security.Principal;


    public static string[] GetMembersDnByPrimaryGroupId(string domainName, SecurityIdentifier sidOfGroupToGetMembersByPrimaryGroupId)
    {
        // In a single domain environement the domain name is probably not needed, but
        // we expect a multy domain environement
        if (string.IsNullOrWhiteSpace(domainName) || sidOfGroupToGetMembersByPrimaryGroupId == null)
        {
            throw new ArgumentNullException($"Neither domainName nor sid may be null / blank: DomainName: { domainName }; sid: { sidOfGroupToGetMembersByPrimaryGroupId }");
            //<----------
        }

        List<string> membersDnResult = new List<string>();
        // Get the last segment of the group sid, this is what is stored in the "primaryGroupId"
        string groupSidTail = sidOfGroupToGetMembersByPrimaryGroupId.Value.Split('-').Last();
        string path = $"LDAP://{ domainName }";
        DirectoryEntry dEntry = new DirectoryEntry(path);

        SearchResultCollection adSearchResult = null;
        DirectorySearcher dSearcher = new DirectorySearcher(dEntry);

        // For this example we need just the distinguished name but you can add
        // here the property / properties you want
        dSearcher.PropertiesToLoad.Add("distinguishedName");

        // set the filter to primarygroupid
        dSearcher.Filter = $"(&(primarygroupid={ groupSidTail }))";

        // May die thousand deaths, therefore exception handling is needed. 
        // My exception handling is outside of this method, you may want
        // to add it here
        adSearchResult = dSearcher.FindAll();

        // Get the domains sid and check if the domain part of the wanted sid
        // fits the domain sid (necesarry in multy domain environments)
        byte[] domainSidBytes = (byte[])dEntry.Properties["objectSid"].Value;
        SecurityIdentifier domainSid = new SecurityIdentifier(domainSidBytes, 0);
        if (sidOfGroupToGetMembersByPrimaryGroupId.AccountDomainSid != domainSid)
        {
            throw new ArgumentException($"Domain sid of the wanted group { sidOfGroupToGetMembersByPrimaryGroupId.AccountDomainSid } does not fit the sid { domainSid } of the searched through domain \"{ domainName }\"");
            //<----------
        }

        // We found entries by the primarygroupid
        if (adSearchResult.Count > 0)
        {
            foreach (SearchResult forMemberByPrimaryGroupId in adSearchResult)
            {
                // Every AD object has a distinguishedName, therefore we acess "[0]" 
                // wihtout any further checking
                string dn = forMemberByPrimaryGroupId.Properties["distinguishedName"][0].ToString();
                membersDnResult.Add(dn);
            }
        }

        return membersDnResult.ToArray();
    }