Добавление пользователей в AD Universal Group из разных доменов C#

У нас есть много доменов в одном лесу (то есть sw.main.company.com, nw.main.company.com, main.company.com), и у меня есть контроль над OU в sw.main.company.com, где у меня есть настроить универсальную группу Active Directory.

У меня нет проблем прагматично (C#) добавление пользователей домена "sw" в группу с использованием System.DirectoryServices.AccountManagement .NET 4.5 и т. Д. На порте AD по умолчанию, но когда дело доходит до добавления пользователей из других доменов (nw, mw, и т. д.), я получаю "HResult=-2147016651 Сообщение = сервер не желает обрабатывать запрос" и "Операция не разрешена через порт GC, данные 0, v1db1" при установке нового PrincipalContext(ContextType.Domain "sw.main.company.com:3268", "DC= главный,DC= компания,DC=com").

Все контроллеры домена также являются серверами глобального каталога, и вызывающий порт 3268 позволяет пользователям из других доменов разрешать правильно, но я не могу зафиксировать добавления с помощью команды GlobalPrincipal.Save(), не выдавая ошибку.

Я включил соответствующий код ниже, а также подробный стек ошибок. Мне нужна помощь с этим.

public void SyncADUsers()
{
    AddUserToGroup("MW\\abc123user", "Universal_Group_1");
}

public void AddUserToGroup(string userId, string groupName)
{
    try
    {
        using (PrincipalContext pc = new PrincipalContext(ContextType.Domain, "sw.main.company.com:3268", "DC=main,DC=company,DC=com"))
        {
            GroupPrincipal group = GroupPrincipal.FindByIdentity(pc, groupName);
            group.Members.Add(pc, IdentityType.SamAccountName, userId);
            group.Save();
        }
    }
    catch (System.DirectoryServices.DirectoryServicesCOMException E)
    {
        //doSomething with E.Message.ToString(); 
    }
}

Исключение System. InvalidOperationException не обработано. HResult=-2146233079 Сообщение = Сервер не хочет обрабатывать запрос. Source = System.DirectoryServices.AccountManagement StackTrace: at System.DirectoryServices.AccountManagement.ADStoreCtx.UpdateGroupMembership(основная группа, DirectoryEntry de, NetCred учетные данные, AuthenticationTypes authTypes) в System.DirectoryServices. updateGroupMembership, учетные данные NetCred, AuthenticationTypes authTypes) в System.DirectoryServices.AccountManagement.ADStoreCtx.Update(принципал p) в System.DirectoryServices.AccountManagement.Principal.Save() в ExampleUsers.SyncAD.Group: String пользователя-группы: группа-пользователя-группа-объектов-наследников \ SourceControl \ ExampleUsers \ ExampleUsers \ SyncAD.cs: строка 33 в ExampleUsers.SyncAD.SyncADUsers() в c:\SourceControl\ExampleUsers\ExampleUsers\SyncAD.cs: строка 18 в ExampleUsers.Program.Main(аргументы String[]) в c:\SourceControl\ExampleUsers\ExampleUsers\Program.cs: строка 62 в System.AppDomain._nExecuteAssembly(сборка RuntimeAssembly, аргументы String[]) ) в System.AppDomain.ExecuteAssembly(String assemblyFile, Evidence assemblySecurity, String[] args) в Microsoft.VisualStudio.HostingProcess.HostProc.RunUsersAssembly() в System.Threading.ThreadHelper.ThreadStart_Context(состояние объекта) в System.Thread.RunInternal(ExecutionContext executeContext, обратный вызов ContextCallback, состояние объекта, логическое preserveSyncCtx) в System.Threading.ExecutionContext.Run(обратный вызов ExecutionContext executeContext, ContextCallback, состояние объекта, логический preserveSyncCtx) в системном ответе, контекстный контекст Executetion Состояние объекта) в System.Threading.ThreadHelper.ThreadStart () InnerException: System.DirectoryServices.DirectoryServicesCOMException HResult = -2147016651 Сообщение = Сервер не хочет обрабатывать запрос. Source = System.DirectoryServices ErrorCode = -2147016651 ExtendedError = 8245 ExtendedErrorMessage = 00002035: LdapErr: DSID-0C090B3E, комментарий: операция не разрешена через порт GC, данные 0, v1db1 StackTrace: в System.DirectoryServices.DirectoryEntges.Com (). DirectoryServices.AccountManagement.ADStoreCtx.UpdateGroupMembership (основная группа, DirectoryEntry de, учетные данные NetCred, AuthenticationTypes authTypes) InnerException:

Источник

2 ответа

Решение

Что касается ответа BaldPate, если Глобальный каталог доступен только для чтения, нам необходимо прочитать и разрешить пользователей в разных доменах, используя порт 3268, а затем СОХРАНИТЬ пользователей, использующих порт 389, в одном контексте. Это можно сделать с помощью следующего кода (обратите внимание на отдельные вызовы на порты 3268 и 389 по умолчанию) и спасибо BaldPate за это:

using System;
using System.Collections;
using System.Data;
using System.Data.SqlClient;
using System.Collections.Generic;
using System.DirectoryServices.AccountManagement;
using System.Linq;
using System.Text;
using System.Threading.Tasks;
using System.Configuration;

namespace OurUsers
{
class SyncAD
{
    #region Variables

    private string sDomain = "sw.main.company.com";
    private string sDomainGC = "sw.main.company.com:3268";
    private string sDefaultOU = "DC=sw,DC=main,DC=company,DC=com";
    private string sDefaultRootOU = "DC=main,DC=company,DC=com";
    private string sGroupName = "Production_Universal_AD_Group";
    private string connectionString = "Server=OurServerName\\PROD; Integrated Security=True; Initial Catalog=OurUsers";
    private string sqlAdd = "SELECT FullID FROM ViewFolkstoAdd";
    private string sqlRemove = "SELECT FullID FROM ViewFolkstoRemove";

    #endregion
    public void SyncADUsers()
    {
        // Get Database Ready and Remove Users
        SqlConnection connectionRemove = new SqlConnection(connectionString);
        SqlCommand commandRemove = new SqlCommand(sqlRemove, connectionRemove);
        connectionRemove.Open();
        SqlDataReader readerRemove = commandRemove.ExecuteReader();

        if (readerRemove.HasRows)
        {
            int i = 0;
            while (readerRemove.Read())
            {
                string sUserName = readerRemove.GetString(0);
                RemoveUserFromGroup(sUserName, sGroupName);
                i = i + 1;
                Console.WriteLine("{0} {1}", i, sUserName);
            }
        }
        else
        {
            Console.WriteLine("No rows found.");
        }
        readerRemove.Close();

        // Get Database Ready and Add Users
        SqlConnection connectionAdd = new SqlConnection(connectionString);
        SqlCommand commandAdd = new SqlCommand(sqlAdd, connectionAdd);
        connectionAdd.Open();
        SqlDataReader readerAdd = commandAdd.ExecuteReader();

        if (readerAdd.HasRows)
        {
            int i = 0;
            while (readerAdd.Read())
            {
                string sUserName = readerAdd.GetString(0);
                AddUserToGroup(sUserName, sGroupName);
                i = i + 1;
                Console.WriteLine("{0} {1}", i, sUserName);
            }
        }
        else
        {
            Console.WriteLine("No rows found.");
        }
        readerAdd.Close();
    }

    /// Gets a certain user on Active Directory
    /// Returns the UserPrincipal Object
    public UserPrincipal GetUser(string sUserName)
    {
        PrincipalContext oPrincipalContext = GetPrincipalContextGC();
        UserPrincipal oUserPrincipal = UserPrincipal.FindByIdentity(oPrincipalContext, sUserName);
        return oUserPrincipal;
    }

    /// Adds the user for a given group
    /// Returns true if successful
    public bool AddUserToGroup(string sUserName, string sGroupName)
    {
        try
        {
            UserPrincipal oUserPrincipal = GetUser(sUserName);
            GroupPrincipal oGroupPrincipal = GetGroup(sGroupName);
            if (oUserPrincipal != null && oGroupPrincipal != null)
            {
                oGroupPrincipal.Members.Add(oUserPrincipal);
                oGroupPrincipal.Save();
            }
            return true;
        }
        catch
        {
            return false;
        }
    }

    /// Removes user from a given group
    /// Returns true if successful
    public bool RemoveUserFromGroup(string sUserName, string sGroupName)
    {
        try
        {
            UserPrincipal oUserPrincipal = GetUser(sUserName);
            GroupPrincipal oGroupPrincipal = GetGroup(sGroupName);
            if (oUserPrincipal != null && oGroupPrincipal != null)
            {
                oGroupPrincipal.Members.Remove(oUserPrincipal);
                oGroupPrincipal.Save();
            }
            return true;
        }
        catch
        {
            return false;
        }
    }

    /// Gets PrincipalContext from the Local Domain
    /// Returns the PrincipalContext
    public PrincipalContext GetPrincipalContext()
    {
        PrincipalContext oPrincipalContext = new PrincipalContext(ContextType.Domain, sDomain, sDefaultOU, ContextOptions.Negotiate);
        return oPrincipalContext;
    }

    /// Gets PrincipalContext from the Global Catalog
    /// Returns the PrincipalContext
    public PrincipalContext GetPrincipalContextGC()
    {
        PrincipalContext oPrincipalContext = new PrincipalContext(ContextType.Domain, sDomainGC, sDefaultRootOU, ContextOptions.Negotiate);
        return oPrincipalContext;
    }

    /// Gets a certain group on Active Directory
    /// Returns the GroupPrincipal Object
    public GroupPrincipal GetGroup(string sGroupName)
    {
        PrincipalContext oPrincipalContext = GetPrincipalContext();
        GroupPrincipal oGroupPrincipal = GroupPrincipal.FindByIdentity(oPrincipalContext, sGroupName);
        return oGroupPrincipal;
    }
}
}
Источник

Глобальный каталог только для чтения.

Пожалуйста, подключитесь к порту LDAP (по умолчанию 389), чтобы обновить группу.

Источник
Другие вопросы по тегам