在之前的文章《dotNET Core 中怎樣操作 AD?》中主要以将AD的資料同步到資料庫的場景來描述了在 dotNetCore 中怎樣操作AD,本文将繼續介紹一些在 dotNetCore 中操作 AD 的其他常用操作。
環境
- dotNET Core:3.0
- Novell.Directory.Ldap.NETStandard2_0:3.1.0
- AD:windows server 2012
基本操作
查詢
在 AD 中進行使用者的操作,通常需要先判斷使用者是否存在,這時就需要使用查詢了,用下面代碼可以進行 AD 中的查詢:
var entities = _connection.Search(ADClient.BaseDC, LdapConnection.SCOPE_SUB,
$"sAMAccountName={loginName}",
null, false);
參數說明:
- base: 指定的總體搜尋範圍,通常在建立連接配接時會指定一個 BaseDC,表示後面的操作在此 DC 範圍内,如果希望從根開始搜尋,此參數可傳空
- scope:查詢周遊的方式,分為 SCOPE_BASE 、SCOPE_ONE 和 SCOPE_SUB 三種
- SCOPE_BASE:通常知道對象的 DN,并希望擷取其屬性時,使用此項
- SCOPE_ONE:查詢 base 的下一層級
- SCOPE_SUB:查詢 base 下的所有對象,包含 base
- filter:用來過濾的表達式,下面列出一些常用的表達式
(cn=oec2003):傳回 cn 等于 oec2003 的使用者
(sAMAccountName=oec*):傳回登入名以 oec 開頭的使用者
!(cn=oec2003):傳回 cn 不等于 oec2003 的使用者
(|(cn=oec2003)(telephonenumber=888*)):傳回 cn 等于 oec2003 ,或者電話号碼以 888 開頭的使用者
(&(cn=oec2003)(telephonenumber=888*)):傳回 cn 等于 oec2003 ,并且電話号碼以 888 開頭的使用者
其他更多的表達式可以參考官方文檔:https://www.novell.com/documentation/developer/ldapcsharp/?page=/documentation/developer/ldapcsharp/cnet/data/bovtuda.html
- attrs:字元串數組,可以指定傳回的屬性的清單,不指定傳回所有的屬性
例如根據登入名來查詢使用者的示例代碼如下:
public static LdapEntry GetUser(string loginName)
{
var entities = _connection.Search(ADClient.BaseDC,LdapConnection.SCOPE_SUB,
$"sAMAccountName={loginName}",
null, false);
LdapEntry entry = null;
while (entities.HasMore())
{
try
{
entry = entities.Next();
}
catch (LdapException e)
{
Console.WriteLine($"GetUser Error: {e.Message}");
continue;
}
}
return entry;
}
添加使用者
public static bool AddUser(string userName, string loginName, string defaultPwd, string container)
{
//設定預設密碼
defaultPwd = $"\"{defaultPwd}\"";
sbyte[] encodedBytes = SupportClass.ToSByteArray(Encoding.Unicode.GetBytes(defaultPwd));
LdapAttributeSet attributeSet = new LdapAttributeSet();
attributeSet.Add(new LdapAttribute("objectclass", "user"));
attributeSet.Add(new LdapAttribute("sAMAccountName", userName));
//設定建立使用者後啟用
attributeSet.Add(new LdapAttribute("userAccountControl", (66080).ToString()));
attributeSet.Add(new LdapAttribute("unicodePwd", encodedBytes));
string dn = $"CN={loginName},{container}";
LdapEntry newEntry = new LdapEntry(dn, attributeSet);
_connection.Add(newEntry);
return true;
}
注意點:
- 預設密碼的設定需要給密碼加上引号
- 預設情況下建立的使用者是禁用的,如果要啟用需要加上代碼
attributeSet.Add(new LdapAttribute("userAccountControl", (66080).ToString()));
修改密碼
public static bool UpdatePassword(string loginName, string password)
{
LdapEntry entry = GetUser(loginName);
if (entry == null)
{
throw new Exception($"名為:{loginName} 的使用者在AD中不存在");
}
password = $"\"{password}\"";
sbyte[] encodedBytes = SupportClass.ToSByteArray(Encoding.Unicode.GetBytes(password));
LdapAttribute attributePassword = new LdapAttribute("unicodePwd", encodedBytes);
_connection.Modify(entry.DN, new LdapModification(LdapModification.REPLACE, attributePassword));
return true;
}
禁用使用者
public static bool EnblaedUser(string loginName)
{
LdapEntry entry = GetUser(loginName);
if (entry == null)
{
throw new Exception($"名為:{loginName} 的使用者在AD中不存在");
}
LdapAttribute attributePassword = new LdapAttribute("userAccountControl", (66082).ToString());
_connection.Modify(entry.DN, new LdapModification(LdapModification.REPLACE, attributePassword));
return true;
}
啟用使用者
public static bool EnblaedUser(string loginName)
{
LdapEntry entry = GetUser(loginName);
if (entry == null)
{
throw new Exception($"名為:{loginName} 的使用者在AD中不存在");
}
LdapAttribute attributePassword = new LdapAttribute("userAccountControl", (66080).ToString());
_connection.Modify(entry.DN, new LdapModification(LdapModification.REPLACE, attributePassword));
return true;
}
移動使用者到新的 OU
public static bool MoveUserToOU(string loginName, string rcn = "", string ouContainer = "")
{
LdapEntry entry = GetUser(loginName);
if (entry == null)
{
throw new Exception($"名為:{loginName} 的使用者在AD中不存在");
}
string cn = entry.AttrStringValue("cn");
cn = rcn == "" ? cn : rcn;
string newRCN = $"CN={cn}";
if (string.IsNullOrWhiteSpace(ouContainer))
{
_connection.Rename(entry.DN, newRCN, true);
}
else
{
_connection.Rename(entry.DN, newRCN, ouContainer, true);
}
return true;
}
- 一個使用者一旦建立,DN是不能修改的,可以通過
方法來修改CN來達到修改DB的目的Rename
- 如果傳入第三個參數
,就可以實作将使用者移動到目标OUouContainer
添加使用者到組
public static bool AddUserToGroup(string loginName, string groupDN)
{
LdapEntry entry = GetUser(loginName);
if (entry == null)
{
throw new Exception($"名為:{loginName} 的使用者在AD中不存在");
}
List<string> memberOf = entry.AttrStringValueArray("memberOf");
if (memberOf.Contains(groupDN))
{
throw new Exception($"名為:{loginName} 的使用者已經加入了組: {groupDN}");
}
LdapModification[] modGroup = new LdapModification[1];
LdapAttribute member = new LdapAttribute("member", entry.DN);
modGroup[0] = new LdapModification(LdapModification.ADD, member);
try
{
_connection.Modify(groupDN, modGroup);
}
catch (LdapException e)
{
System.Console.Error.WriteLine("Failed to modify group's attributes: " + e.LdapErrorMessage);
return false;
}
catch (Exception e)
{
Console.Error.WriteLine("AddUserToGroup Error:" + e.Message);
return false;
}
return true;
}
使用者從組中移除
public static bool RemoveUserFromGroup(string loginName, string groupDN)
{
LdapEntry entry = GetUser(loginName);
if (entry == null)
{
throw new Exception($"名為:{loginName} 的使用者在AD中不存在");
}
List<string> memberOf = entry.AttrStringValueArray("memberOf");
if (!memberOf.Contains(groupDN))
{
throw new Exception($"名為:{loginName} 的使用者不存在于組: {groupDN} 中");
}
LdapModification[] modGroup = new LdapModification[1];
LdapAttribute member = new LdapAttribute("member", entry.DN);
modGroup[0] = new LdapModification(LdapModification.DELETE, member);
try
{
_connection.Modify(groupDN, modGroup);
}
catch (LdapException e)
{
System.Console.Error.WriteLine("Failed to delete group's attributes: " + e.LdapErrorMessage);
return false;
}
catch (Exception e)
{
Console.Error.WriteLine("RemoveUserFromGroup Error:" + e.Message);
return false;
}
return true;
}
添加使用者登入到
public static bool UpdateUserWorkStation(string loginName, string computerName, UserWorkStationOperType type)
{
LdapEntry entry = GetUser(loginName);
if (entry == null)
{
throw new Exception($"名為:{loginName} 的使用者在AD中不存在");
}
List<string> stations = entry.AttrStringValue("userWorkstations").Split(',').ToList();
if (type == UserWorkStationOperType.Add && !stations.Contains(computerName))
{
stations.Add(computerName);
}
else if (type == UserWorkStationOperType.Remove && stations.Contains(computerName))
{
stations.Remove(computerName);
}
LdapAttribute attributePassword = new LdapAttribute("userWorkstations", string.Join(',', stations));
_connection.Modify(entry.DN, new LdapModification(LdapModification.REPLACE, attributePassword));
return true;
}
最後
本文的示例代碼已推送到 GitHub:https://github.com/oec2003/DotNetCoreAdDemo
官網也有些示例,但不是很完善,而且有很多代碼并不能正常執行,是以才有了本示例,也會不斷完善。
希望本文對您有所幫助。
微信公衆号:不止dotNET
作者: oec2003
出處: http://oec2003.cnblogs.com/
本文版權歸作者和部落格園共有,歡迎轉載,但未經作者同意必須保留此段聲明,且在文章頁面明顯位置給出原文連結,否則 保留追究法律責任的權利。