תכנות ל ACTIVE DIRECTORY

[ninjaDude3333]

תכנות ל ACTIVE DIRECTORY

היי,
אני מנסה לכתוב פרוייקט שיגדיר משתמשים וקבוצות בAD,
אני לא מצליח להגדיר את פרטי האבטחה של הקבוצות.
מישהוא פה מכיר תכנות ל AD, אני חדש בעניין , וכבר קיבלתי כאב ראש.

אשמח מאד לכל עזרה ,רמז, ליד ....

תודה מראש.

 

[antidot]

מה אתה צריך?

לערוך את הACL על האובייקט של קבוצה?
באיזה namespace אתה משתמש? יכול להראות את מה שכבר יש לך?

 

[ninjaDude3333]

לא בטוח מה זה ACL, אבל...

אני צריך להוסיף משתמשים לקבוצה, ולתת למשתמשים הרשאות ספציפיות על הקבוצה,
כל זה כמובן בC#.
כמו שנראה בתמונה...

תודה רבה.
דודו

 

[antidot]

--->

עריכת הרשאות של אובייקט:
//Bind to the AD object DirectoryEntry de = new DirectoryEntry("LDAP://CN=Some Group,OU=OU1,DC=domain,DC=local");
// Create IdentityReference object - the account you want to grant permissions to: var ntAccount = new NTAccount("DUDUDC", "FIMCMAuthAgent"); //Create the "Full Control" access rule you want to add to the ACL ActiveDirectoryAccessRule ar = new ActiveDirectoryAccessRule( ntAccount, /* the account that is granted access */ ActiveDirectoryRights.GenericAll, /* Access level we are granting. GenericAll = Full Control */ System.Security.AccessControl.AccessControlType.Allow); /* access type: Allow or Deny*/ // Add the access rule to the ACL de.ObjectSecurity.AddAccessRule(ar); // Commit the changes you made to the object back to AD de.CommitChanges();
הוספת משתמש לקבוצה - יש טונה של דוגמאות ברשת. אם עוד לא הסתדרת, תראה את הקוד שלך

 

[Royi Namir]

איזה הרשאות (ועל מה) צריך בשביל לבצע פעולה שכזו ?

 

[antidot]

---->

אתה צריך כמינימום הרשאת Change Permissions לאובייקט שאת ההרשאות עליו אתה משנה (או להיות הOwner של האובייקט - לא נראה לי שרלוונטי במקרה של קוד שקשור לFIM כמו שאני מבין מצילום המסך)

 

[Royi Namir]

אז אני מבין ש

CHANGEPERMISSION זו הרשאה שנותנת לך תכלס לעשות מה שאתה רוצה , כמו ADMIN. ( מבחינת שינוי )
לא ?
אפילו לשנות לאדמין עצמו. לא ?

 

[antidot]

כמעט

ברגע שיש לך Change Permission על אובייקט, אתה יכול לשנות את ההרשאות שלו ולמעשה לתת לכל אחד (כולל עצמך) הרשאות מלאות על האובייקט.
&nbsp
הסתייגות: שינוי Owner דורש הרשאה נוספת.
&nbsp
שינוי הרשאות על חשבונות אדמיניסטרטיביים הוא קצת יותר טריקי:
- הם לרב לא יורשים הרשאות מהקונטיינר/OU בו הם יושבים וההרשאות שלהם "מוקשחות"
- אפילו אם יש לך הרשאות לשנות את ההרשאות על האובייקטים האלה, פעם בשעה רץ תהליך של AdminSdHolder שמאפס את ההרשאות לברירת מחדל של חשבונות אדמיניסטרטיביים (אני קצת מפשט)
- את האובייקטים הנ"ל אתה יכול לזהות ע"י כך שה-attribute בשם adminCount עליהם הוא גדול מ0.
&nbsp
&nbsp

 

[imitsu]

יש באתר code project הסברים מפורטים

כנס ללינק הבא:
http://www.codeproject.com/Articles/18102/Howto-Almost-Everything-In-Active-Directory-via-C
&nbsp
&nbsp

 

[ninjaDude3333]

חרשתי כבר את האתר הזה...

לצערי אין בו שום מידע בנוגע להרשאות.

 

[Royi Namir]

לצערי אחוז הדברים האיכותים שיש בו הוא נמוך

 

[imitsu]

את זה ראית?

http://stackoverflow.com/questions/6850604/user-group-permissions-in-active-directory

 

[ninjaDude3333]

כן מכיר...

שם הם מדברים על לקרוא את ההרשאות הקיימות, אני רוצה לכתוב חדשות .