Announcement

**Andreas Kosch** · 05.02.2007, 14:04

Hallo,

wichtiger als die konkrete Implementierung ist zuerst die Fage, welche Benutzer (Administrator, Hauptbenutzer oder normale Benutzer) zu welchem Zweck auf das Active Directory zugreifen sollen. In einer typischen Anwendung wird das Active Directory zur Identifizierung des Anwenders verwendet, so dass vor allem 3 Fragen wichtig sind:

1. Hat sich der Benutzer �berhaupt im Active Directory angemeldet?
2. Welchen Benutzernamen (Dom�nenname\Benutzername) hat er?
3. Geh�rt er einer bestimmten Rolle (Benutzergruppe) an?

F�r diese typischen Aufgaben stellt das .NET Framework seit der Version 1.0 bequeme Klassen/Methoden bereit.

1. WindowsIdentity-Methode IsAuthenticated
2. WindowsIdentity-Eigenschaft Name
3. WindowsPrincipal-Methode IsInRole

Wenn die eigene Anwendung allerdings das Active Directory administrieren soll (wozu der Anwender zur Gruppe der AD-Administratoren geh�ren muss), wird es aufw�ndiger.

Jetzt will ich auf die Benutzergruppe zugreifen und alle darin befindlichen user auslesen...

Warum? Reicht die "Ja/Nein"-Antwort auf die Frage "Geh�rt der Benutzer A zur Gruppe B" nicht aus? Wenn nicht, kann ich ein Beispiel nachreichen (wenn der Benutzer die daf�r ben�tigten Rechte am AD hat).

Weil ein benutzer kann ja auch local angemeldet sein, oder denke ich hier falsch?

Nein, das ist v�llig richtig. Unter Windows sind Benutzer und Computer Sicherheitshauptnamen (securitry principal). Hauptnamen k�nnen sich untereinander �ber den Prozess der Authentifizieren identifizieren. Diese Authentifizierung wird von einer Autorit�t durchgef�hrt. Jede Autorit�t besitzt eine Kontodatenbank mit den sicherheitsbezogenen Konfigurationsdaten - wobei Windows f�r ein neues Konto eine neue Sicherheits-ID (SID) vergibt. Es zwei verschiedene Autorit�t-Typen:

1. Lokale Autorit�t (jeder Windows-Rechner)
2. Dom�nenautorit�t (Dom�nenkontroller alias Active Directory)

Ein Benutzer, dessen Rechner im AD intregriert ist, kann sich entweder lokal am Rechner anmelden oder im AD. Aus diesem Grund wird der Benutzername ja auch in der Syntax Autorit�t\Hauptname (oder aktueller im AD-Format hauptname@autorit�t) dargestellt. Die Anwendung kann somit sehr wohl unterscheiden, welchen Login-Weg der Anwender genutzt hat.

**a mueller** · 05.02.2007, 16:13

Vielen Dank f�r die Detalierten Aussagen!

Warum? Reicht die "Ja/Nein"-Antwort auf die Frage "Geh�rt der Benutzer A zur Gruppe B" nicht aus?

Das Problem ist das die Software auf einem Cient Rechner l�uft und des morgens der Rechner hochgefahren wird, sodass jeder auf das System zugreift. Ich kann in diesem fall keine

1. WindowsIdentity-Methode IsAuthenticated

nutzen....

Der jeweilige Benutzer soll sich in einer ComboBox ausw�hlen, wo alle aus der Gruppe Users aufgelistet sind. (Problem sind wahrscheinlich die Rechte??)
Erst jetzt wird er nach einem Passwort gefragt, welches dann verglichen wird.
Ich weiss es ist eine schlechte L�sung, es wird aber so gew�nscht

Und f�r diesen fall muss ich die gruppe auslesen... und das krieg ich nicht geregelt....

Also wenn du ein beispiel hast w�re ich wirklich dankbar, wenn ich daraus einiges ableiten k�nnte...

Danke f�r Deine bisherige Hilfe

Gru� Andy

**Andreas Kosch** · 06.02.2007, 08:51

Hallo,

Und f�r diesen fall muss ich die gruppe auslesen...

das folgende Beispiel demonstriert das Auslesen der Benutzer:

a) Alle Benutzer des Active Directory
b) Nur die Benutzer einer speziellen Gruppe des Active Directory

Das Beispiel greift auf das AD zu, an dem sich der Benutzer beim Windows-Login angemeldet hat.

<div style="font-family: Courier New; font-size: 10pt; color: black; background: white; border-top: windowtext 1pt solid; padding-top: 0pt; border-left: windowtext 1pt solid; padding-left: 0pt; border-right: windowtext 1pt solid; padding-right: 0pt; border-bottom: windowtext 1pt solid; padding-bottom: 0pt;">using System;using System.Collections.Generic;using System.ComponentModel;using System.Data;using System.Drawing;using System.Text;using System.Windows.Forms;// vorher Verweis zu System.DirectoryServices hinzufügenusing System.DirectoryServices; namespace FORUM_BenutzerInGruppe{    public partial class Form1 : Form    {        public Form1()        {            InitializeComponent();        }         private void buttonAllUser_Click(object sender, EventArgs e)        {            // Alle Benutzer des Active Directory auflisten            string sUserName;            DirectoryEntry aDE = new DirectoryEntry("");            DirectorySearcher aDS = new DirectorySearcher(aDE);            aDS.Filter = "(objectCategory=user)";            foreach (SearchResult aSR in aDS.FindAll())            {                sUserName = aSR.GetDirectoryEntry().Name;                sUserName = sUserName.Remove(0, 3); // Präfix "CN=" entfernen                listBox1.Items.Add(sUserName);             }            toolStripStatusLabel1.Text = "Fertig.";        }         private void buttonGroupUser_Click(object sender, EventArgs e)        {            // nur die Benutzer einer bestimmten Benutzergruppe auflisten            DirectoryEntry aDE = new DirectoryEntry("");            DirectorySearcher aDS = new DirectorySearcher(aDE);            aDS.Filter = "(&(objectClass=group)(cn=" + textBoxGroupName.Text + "))";            foreach (SearchResult aSR in aDS.FindAll())            {                foreach (Object aMember in aSR.Properties["member"])                {                    DirectoryEntry aMemberEntry = new DirectoryEntry("LDAP://" + aMember);                    object obVal = aMemberEntry.Properties["sAMAccountName"].Value;                    if (null != obVal)                    {                        listBox1.Items.Add(obVal.ToString());                    }                }            }            toolStripStatusLabel1.Text = "Fertig.";        }    }}</div>

**a mueller** · 06.02.2007, 09:05

Danke

Ich danke Dir f�r die schnelle Hilfe.
Damit kann ich was anfangen.

Also nochmals danke

Gru� Andy

Announcement

WindowsIdentity C#

WindowsIdentity C#

Comment

Comment

Comment

Comment