在Active用户属性中保存自定义用户角色

Question

是否可以在用户中保存自定义字符串？例如，包含用分号分隔的user-roles列表的字符串？例如，DirectoryEntry包含类似于具有read;write;值的userRoles之类的东西，还是类似的东西？

我正在尝试使用c#设置和访问这些信息。

非常感谢!

Answer 1

你基本上有三个选择来做这个。

1. 如果组织中安装了Exchange，它将自动在AD中添加extensionAttribute1 - 15，用于存储用户定义的数据。
2. 您可以使用未使用的字段(如physicalDeliveryOffice )来存储自定义数据。
3. 如果(大if)您可以说服您的网络管理员相信这一点，那么您实际上可以扩展活动目录模式来存储您自己的用户定义的数据。

在任何情况下，您都会查询这些字段(例如。使用System.DirectoryServices.AccountManagement与数据交互。不过，Active并不意味着它是一个事务性数据库。如果您需要存储您的应用程序可以访问的用户的自定义数据，那么最好查看一下诸如ASP.NET成员资格和角色(较老但已被证实的技术)或ASP.NET标识。因为我更熟悉会员和角色，所以我会以它为例。身份验证(成员)和授权(角色)方面是分开的，这意味着您的用户可以使用内置提供程序使用AD进行身份验证，但随后使用自定义的角色提供程序实现(例如)根据SQL数据库、web服务、XML文件或其他您可以想到的东西检查他们的角色成员资格。您甚至可以检查多个源(例如AD组和SQL数据库)，如果性能有问题，还可以实现缓存，等等。

Active Directory有一些缺点，例如：

• 开发人员通常不会控制它，这意味着在任何需要扩展应用程序的时候都会出现繁文缛节。
• 根据查询AD的方式，与SQL数据库相比，性能可能非常差。
• 在某些错误损坏您的自定义数据时，请您说服服务器人员恢复Active，祝您好运
• 不能保证新的网络管理员实习生不会决定将其他不兼容的数据放在您的自定义字段中。
• 如果您想从您的应用程序中更新字段中的数据，您必须说服您的网络管理员/安全人员，您的应用程序可以以一种安全的方式这样做，而不会让用户修改其他更重要的数据。

因此，虽然可以在AD中存储自定义数据，但它通常是不受欢迎的、劳动密集的和不安全的。