如何查询 Active Directory 对象的有效权限？

Question

我试图以编程方式确定当前用户是否对给定的 Active Directory 对象具有某些权限（特别是在本例中，我试图确定用户是否具有其他 Exchange 用户或通讯组列表对象的“发送为”权限） ）。

我已经弄清楚如何使用 ADSI 访问 ntSecurityDescriptor 属性：我可以枚举 IADsSecurityDescriptor 的 DiscretionaryACL 属性中的 ACE。但是：

• 如何根据该数据确定受托人是否明确允许或拒绝“发送为”权限？
• 当通过组成员身份间接授予权限时，我如何发现这一点？我真的必须通过（递归地）检查用户所属的所有组来自己解析有效权限吗？当然，必须有一个用于该任务的 API...

FWIW，我正在使用 ActiveDs.dll 类型库在 Delphi（即本机 Win32 代码）中进行编码，因此 .NET 特定的解决方案不会真正帮助我，除非它们的源代码为我提供了如何在本机代码中执行相同操作的线索。 PowerShell 也是如此。

---

在任何人开始之前：我已经了解 PR_EMS_AB_PUBLIC_DELEGATES 和 PR_EMS_AB_PUBLIC_DELEGATES_BL_O 扩展 MAPI 属性。然而，这不是我所追求的。这些属性指的是“代表发送”权限（又名委托），而不是“发送为”权限，这是完全不同的事情。

Answer 1

这是解释的 MSDN 文章 - http ://msdn.microsoft.com/en-us/library/windows/desktop/ms675580(v=VS.85).aspx。随附的示例展示了如何调用 API。