在 Windows 应用程序中选择用于基于 AD 的授权的 API

Question

我们正在构建一个富客户端应用程序 (WPF)，它使用登录用户信息进行审核和授权。

我试图在三种不同的 API 之间做出决定来访问此信息：

• System.Management 类（WMI 查询）
• System.Security.Principal 类（WindowsIdentity 等）
• System.DirectoryServices.AccountManagement 类（UserPrincipal 等）

用例有：

• 获取当前用户名 获取
• X 组中的所有用户
• 获取当前用户所属的所有组
• 当前用户是否在 X 组中？
• 用户 X 是否在组 Y 中？

我对每种方法都有一些概念证明，但我想要一些使用其中一种或另一种方法的客观理由。我希望了解以下方面的事实：

• 可测试性
• 性能
• 易于使用
• 易于部署
  • 测试/生产中
  • 在开发者的计算机中

Answer 1

WMI
在可测试性方面很好，因为有很多（本机/.NET/脚本...）可以用于相同的任务、结果比较等。
根据我的经验，有关安全/通信等的部署/设置可能相当困难。

System.DirectoryServices.AccountManagement
根据我的经验，非常容易使用和部署...对于开发人员的计算机，您可以（牺牲一些更微妙的方面）使用相同的代码，并在需要时使用本地用户/组进行测试。关于性能，这通常已经足够了，但可以根据您的需要进行一些调整（临时 AD 查询与永久连接等）。
如果不仅需要查询，还需要创建/更改用户/组等。这是一件很容易做的事情...

我没有经常使用System.Security.Principal，所以可以'不用多说....NET 的最新部分是 System.DirectoryServices.AccountManagement，并且工作得非常好:-)