Может ли запрос LDAP в AD предоставить имя домена netbios для одной учетной записи при использовании глобального каталога?

Я использую ADSI Edit для просмотра свойств LDAP одной учетной записи пользователя в AD. Я вижу такие свойства, как userPrincipalName, но не вижу ни одного для полного доменного имени (FQDN) или доменного имени netbios.

Мы будем настраивать Глобальный каталог (GC), чтобы предоставить нам доступ LDAP к нескольким доменам, и через конфигурацию в приложении мы сопоставляем свойства LDAP со свойствами профиля пользователя в приложении. При использовании типичного AD полное доменное имя и доменное имя netbios одинаковы для всех пользователей, но с помощью GC нам нужна эта дополнительная информация. Нам действительно нужно только доменное имя netbios (полное доменное имя недостаточно хорошее).

Может быть, существует запрос LDAP, который можно сделать, чтобы запросить эту информацию у объекта более высокого уровня в AD?

Я думаю, что я понял это. Используя ADSI Edit, вы можете просматривать свойства объекта (например, пользователя), но по умолчанию он отфильтровывал «построенные» атрибуты. Используя кнопку «Фильтр» в правом нижнем углу экрана свойств, я смог показать эти дополнительные атрибуты.

«MsDS-PrincipalName» имеет значение «[имя домена netbios] \ [sAMAccountName]» в качестве значения.

Если я захожу в AD Users and Computers и изменяю «Имя входа пользователя» с «gwasington@test.kirkdev.local» на «gwash2ington@test.kirk2dev.local», это влияет на атрибут «userPrincipalName», но не на «msDS- PrincipalName "атрибут. Это хорошо в моем случае, потому что моя другая система (SharePoint) также не распознает это изменение.

Если я захожу в AD Users and Computers и меняю «Имя входа пользователя (до Windows 2000)» с «KIRKDEV \ gwashington» на «KIRKDEV \ g2washington» (обратите внимание, что я не могу изменить первую часть), это не влияет на «UserPrincipalName» атрибут, но это влияет на атрибут «MSDS-PrincipalName». Это именно то, чего я хочу, потому что моя другая система (SharePoint) распознает это изменение.

Примечание: я сказал, что SharePoint распознает это изменение, но это только в том случае, если пользователь никогда ранее не входил в это семейство сайтов SharePoint. После того как пользователь вошел в семейство сайтов SharePoint, поле tp_Login в таблице UserInfo устанавливается со значением «msDS-PrincipalName», и это, похоже, не меняется. Поэтому мне, возможно, придется найти способ заставить это измениться или просто сказать, что этот сценарий не поддерживается.

Чтобы ответить на последний вопрос, вы сможете проверить имя NetBios вручную, проверив раздел «Конфигурация», а затем разделы каталога в ADSIEdit:

CN=MYNETBIOSNAME,CN=Partitions,CN=Configuration,DC=mydomain,DC=internal

Это имеет nameи netBIOSNameсвойства. В противном случае, я думаю, вам придется получить его из fqdn / DN, как предполагает squillman.

Для приложения? Microsoft делает это довольно просто в .NET. Это должно предоставить вам список доменных имен Netbios, которые вы можете использовать для создания списка пользовательских объектов с именами DN / DNS / Netbios домена или перекрестных ссылок на словари.

Кроме того, то, что определяет, доступен ли атрибут в Глобальном каталоге, является (еще одним) атрибутом, называемым isMemberOfPartialAttributeSet. Используя Microsoft SysInternals AD Explorer, вы можете искать контейнер схемы в домене и искать любой объект, имеющий isMemberOfPartialAttributeSet = true, чтобы увидеть все атрибуты, доступные для запроса GC.

using System.DirectoryServices;
using System.DirectoryServices.ActiveDirectory;

private void GetNetbiosNamesTest()
{
    DomainCollection domains = Forest.GetCurrentForest().Domains;
    foreach (Domain domain in domains)
    {
        Console.WriteLine("Domain Netbios name: {0}", this.GetDomainNetBiosName(domain));
    }
}

private string GetDomainNetBiosName(Domain domain)
{
    ForestRootDirectoryEntry = Forest.GetCurrentForest().RootDomain.GetDirectoryEntry();
    string forestConfigurationBindPath = String.Format("LDAP://CN=Partitions,CN=Configuration,{0}", ForestRootDirectoryEntry.Properties["distinguishedName"].Value);
    ForestRootConfigurationDirectoryEntry = new DirectoryEntry(forestConfigurationBindPath);

    string netBiosName = String.Empty;

    using (DirectorySearcher directorySearcher = new DirectorySearcher(ForestRootConfigurationDirectoryEntry))
    {
        directorySearcher.Filter = String.Format("(&(nETBIOSName=*)(dnsRoot={0}))", domain.Name);
        directorySearcher.PropertiesToLoad.AddRange(new String[] { "dnsRoot", "nETBIOSName" });
        var result = directorySearcher.FindOne();

        if ((result != null) && (result.Properties.Contains("nETBIOSName"))) netBiosName = result.Properties["nETBIOSName"][0].ToString();
    }
    return netBiosName;
}

Вам придется анализировать его dnпо AdsDSPathатрибуту (detachedName) или по атрибутам. Объекты доменных имен имеют префикс "DC="в этих атрибутах. Самый левый DC=будет содержать ваше доменное имя netbios.

Например: cn=myuser,ou=users,dc=mydomain,dc=mycompany,dc=com

mydomain доменное имя netbios

РЕДАКТИРОВАТЬ:
Как указывает Брайан Десмонд, это не обязательно авторитетный способ найти фактическое имя netbios, это просто совпадение, что они обычно коррелируют. См. Ответ BoyMars для авторитетного пути.

Если у вас есть имя участника-пользователя или DN, вы можете использовать COM-библиотеку ActiveDS для перевода значений. Ниже приведен пример для перевода UserPrincipalName в NT4 (NetBios) имя.

using System;
using System.Collections.Generic;
using System.Linq;
using System.Text;
using ActiveDs;

namespace Foo.Repository.AdUserProfile
{
    public class ADUserProfileValueTranslate
    {
        public static string ConvertUserPrincipalNameToNetBiosName(string userPrincipleName)
        {
            NameTranslate nameTranslate = new NameTranslate();
            nameTranslate.Set((int)ADS_NAME_TYPE_ENUM.ADS_NAME_TYPE_USER_PRINCIPAL_NAME, userPrincipleName);
            return nameTranslate.Get((int) ADS_NAME_TYPE_ENUM.ADS_NAME_TYPE_NT4);
        }
    }
}