在 .Net 中使用 Active Directory 进行授权

Question

除了使用 System.DirectoryServices.AccountManagement 执行基本 AD 功能的简单代码示例之外，是否有通用指南或者有人可以发布自己的关于将 .net 与应用程序集成的指南？我有一个独立的项目数据库。

可以将项目分配给用户。我应该将 UserPrincipleName、专有名称、GUID 或 SID 存储在数据库中吗？

项目的某些部分仅限于特定部门的员工。我是否为每个部门创建一个简单的AD组？我应该支持某种本地缓存还是多个 IsMemberOf 调用？

我应该如何处理更细粒度的权限，例如 CanDoSomething。我应该嵌套更多组吗？

Answer 1

如果您的应用程序和使用它的用户都在同一 LAN 上，我绝对建议使用直接 Windows 身份验证。

也就是说：

• 对于应用程序中的每组用户（普通用户、演示用户、管理员），创建一个 Windows/AD 安全组 - 这些组可以由任何 Windows/AD 管理员管理和处理（无需特殊工具/UI） /

• 在你的代码中，使用当前 WindowsPrincipal 上的 IsInRole 方法要确定当前用户是否处于

• 更细粒度的权限：这完全取决于您；有一些“开箱即用”的解决方案，例如 AzMan，但似乎没有一个真正被广泛使用 - 我们大多使用某种两层或三层方法（用户 - 配置文件 - 权限）来“推出我们自己的”解决方案在数据库中进行管理，并在我们的应用程序中进行管理

AD 对象的名称可能会更改 - 所以我不会将其用作我独特且稳定的参考。 GUID 或 SID 都是固定的并且不会更改 - GUID 更是如此（SID 在某些情况下可以合并，因此可能会更改 - 对于组而言更多，但仍然有可能）