Active Directory 和 PrimaryPermission

Question

这更多的是出于好奇，而不是请求帮助，但我注意到，当使用 PrimaryPermission 并验证用户是否属于 Active Directory 中的特定组时，它不会使用真实的组名称，而是根据 Windows 2000 之前的组进行验证名称代替。 通常这不会产生什么影响——除非有人碰巧使这些值不同。

谁能想到为什么 .Net API 会使用该组名称而不是“真实”名称？ 这让我经历了几个小时的悲伤和一点点运气，终于弄清楚了这一切。

Answer 1

我假设（没有亲自测试和尝试过）PrincipalPermission 属性将使用 Active Directory 中的“sAMAccountName”作为用户和组名称（例如“Users”或“JohnDoe”），而不是“可分辨名称”(DN)您可能会期望（“CN =用户”，“CN = John Doe”）。

其背后的原因很可能是您正在使用独立服务器或 NT4 域等情况。 在这些情况下，您根本没有任何基于 AD 的可分辨名称 - 但您有 SAM 帐户名称。

因此，从某种意义上说，一开始这似乎有点令人惊讶 - 但在我看来，使用这些 SAM 帐户名称（AD 之前的名称）确实有意义 - 您同意吗？

马克

Answer 2

原因是安全有保障。 samAccountName 属性是唯一的跨 NTDS 域中的所有安全主体对象。 如果使用其他名称属性，攻击者可以通过在不同的组织单位或容器中创建具有相同名称的其他用户/组来轻松解决安全权限问题。