Пользователь группы в конкретном компьютере?

Question

Я пишу веб-приложение, и я пытаюсь аутентифицировать пользователей admin. Я надеялся сделать это, имея локальную группу на сервере, в которую я добавляю пользователей домена. У меня есть группа под названием ProductionManagers, в которую я добавляю людей с правами администратора. У других пользователей есть доступ только для просмотра.

Что я хочу сделать, это найти запрос на AD (справа?) На сервере и выяснить, является ли текущий зарегистрированный пользователь членом группы (которая является группой на сервере, а не группой домена).

Каков наилучший способ сделать это? Или, может быть, у вас есть предложение о лучшем механике, чем в локальной группе, где я добавляю админов?

Answer 1

При использовании ASP.NET и проверка подлинности формы,

WindowsPrincipal principal = new WindowsPrincipal(new WindowsIdentity("youruser@domain.com")); 
if (principal.IsInRole("ProductionManagers")) 
{ 
    // Authenticated 
} 

При использовании проверки подлинности ASP.NET и с Windows,

WindowsPrincipal principal = new WindowsPrincipal(WindowsIdentity.GetCurrent()); 
if (principal.IsInRole("ProductionManagers")) 
{ 
    // Authenticated 
} 

Если использовать что-то другое, как Java, PHP, Ruby, вам нужно вызовите API .NET или API Win32 для этого. Вы не можете просто сделать запрос LDAP для получения этой информации. Причина в том, что информация о членстве в группе для локальной группы фактически хранится на локальных компьютерах, но не в Active Directory.

Чтобы получить информацию о членстве в группе из местного магазина, необходимо вызвать что-то вроде NetLocalGroupGetMembers.