確定跨域Active Directory組成員身份

Question

我目前正在研究一個項目，我需要查詢Active Directory以確定用戶的組成員資格。我最初是找到用戶並檢索memberOf屬性。這個問題是有一個域和一個子域。這些組是通用組，因此它們可以在兩個域中使用，並且它們不會顯示在memberOf屬性中。不幸的是，似乎沒有太多有關使用C++進行Active Directory訪問的信息。無論如何，在這種情況下用C++來確定組員身份？

Answer 1

如果您使用託管C++，則可以使用UserPrincipal.GetAuthorizationGroups。

如果您未使用託管C++，要解決此特定問題，應綁定到全局編錄並對組對象的成員屬性執行LDAP搜索以找出包含該用戶的通用組。您應該通過指定groupType，objectCategory和objectClass來限制搜索。

但是，就像我在另一個post中提到的那樣，羣組枚舉一般很難做到。如果您只需要找出用戶所屬的所有羣組，最好的辦法就是使用S4USelf