ASP.NET - 獲取DirectoryEntry/SID的主體/相對標識符（RID）

Question

我在自定義MembershipProvider類中使用Active Directory來驗證ASP.NET 2.0 Intranet應用程序中的用戶，並將其sid與配置文件相關聯應用程序。

當使用ActiveDirectoryMembershipProvider，所述ProviderUserKey對象爲MembershipUser是如下

SecurityIdentifier sid = (SecurityIdentifier)Membership.GetUser().ProviderUserKey; 
string sidValue = sid.ToString(); 

/* sidValue = "S-1-5-21-XXXX-XXXX-XXXX-YY" */ 

據我所知，YY是命名空間（也被稱爲一組/域）內的主體。

當使用自定義的MembershipProvider，我可以使用DirectoryEntry對象的屬性objectSid

DirectoryEntry entry = new DirectoryEntry(path, username, password); 
SecurityIdentifier sid = new SecurityIdentifier((byte[])entry.Properties["objectSid"].Value, 0); 
string sidValue = sid.ToString(); 

/* sidValue = "S-1-5-21-XXXX-XXXX-XXXX" */ 

在這種情況下的sidValue是相同得到的sid，除了它不包含主要YY。

我的問題是雙重的

1. 是爲了唯一識別個人所需的校長？
2. 是否可以從DirectoryEntry對象（或通過System.DirectoryServices中可用的任何其他類）獲取主體？

編輯：

已經做了一些進一步閱讀（{1}{2}），我現在知道，如果用戶從一個組/域移動到另一個SID可以改變。鑑於此，使用DirectoryEntryProperties["objectGUID"]中定義的GUID是唯一識別用戶的更好選擇嗎？

Answer 1

objectGUID是識別用戶賬戶的最佳選擇。我強調這一點是因爲objectGUID是唯一的，並且針對某個帳戶的實例進行了修復。如果您刪除並重新創建具有相同distinguishedName的帳戶，您將得到一個不同的objectGUID。因此，objectGUID不標識用戶，它標識該帳戶。

所以，如果你想識別賬戶，使用objectGUID。

有時，管理員可以刪除和重新創建帳戶以解決問題。如果您需要在發生這種情況後識別用戶，則需要在帳戶對象上選擇其他內容。這可能必須取決於您的帳戶定義政策。也許你有不是基於用戶名的sAMAccountNames？也許管理員填充employeeid或employeeNumber？也許他們強制顯示名稱的唯一性？

這是鏈接到AD attribute info。 這是鏈接到DirectoryEntry Properties。