Каков наилучший способ хранения ссылки на группу AD?

Question

Я пишу приложение для интрасети для клиента, и я хочу дать им возможность настраивать через интерфейс администратора, доступ к которым пользователи и группы пользователей могут получить в определенных областях. То, что я хотел бы знать, - лучший способ хранения ссылки на пользователя или группу, которая назначена для области интрасети.

Должен ли я использовать домен \ имя пользователя и домен \ имя_группы строк или должен я, возможно, использовать полное имя объявления т.е. оу = компьютерный зал, сп = бла и т.д.?

Я буду хранить ссылку в SQL.

Answer 1

Я бы использовал домен \ группу в случае, если группа будет перемещена или удалена/воссоздана. Использование CN является хрупким перед лицом изменений структуры OU. SID не читаются человеком и будут разбиты, если объект будет удален/воссоздан.

Answer 2

Лично я считаю, что формат «Домен \ Имя пользователя» является достаточно читаемым.

Кроме того, если вы редактировали таблицу SQL напрямую, вы могли бы легко вставить запись для пользователя для тестирования или отладки.

Answer 3

Если вы хотите быть Absolutley, что вы имеете право пользователя/группы можно использовать SID (идентификатор безопасности, который существует на любом объекте в активной директории, которые могут быть назначены разрешения, и его с GUID)

I я не уверен, что такое контекст приложения, но, возможно, посмотрите на использование безопасности Active Directory, чтобы пользователи не собирались размещать их, а не если они не являются сайтом большого объема, некоторые из которых, возможно, можно сделать с помощью интегрированную проверку подлинности и проверку безопасности на sql.

У меня были проблемы с запросами LDAP и AD, поскольку разные контроллеры домена могут иногда давать разные ответы или даже не находить объект или потребовать, чтобы вы вошли в систему, прежде чем вы сможете запросить AD.