RSS 2.0
よくあるサンプルでは、ユーザをあらわすDirectoryEntryを作成して、プロパティの memberOf を使用すれば、自身が直接所属しているグループの完全識別名を取得できますが、その場合、グループがほかのグループに属している場合に、リカーシブに処理をする必要があります。今回は2通りの方法でユーザが所属するすべてのグループを取得してみます。方法として、tokenGroups 属性値から所属しているグループの SID を取得し、そこからグループ名を取得します。
動作確認環境
- 動作環境: Windows 2003 Server (ドメイン環境)
- 開発環境: Visual Studio 2008 Professional
- .NET 3.5 SP1
.NET 2.0 以上で動作するはずです。
1. DirectorySearcher を使用してグループを取得する
LDAP のクエリを使用してグループをすべて取得する方法を掲載します。下記サンプルでは、ドメイン crm1.local ないの組織 CrmUsers 直下のユーザcrmuser03 の所属する全てのグループを列強するサンプルを掲載します。
public static void RetrieveGroupPattern1()
{
StringBuilder builder = new StringBuilder();
using (DirectoryEntry crmuser = GetDirectoryEntry("CN=crmuser03,OU=CrmUsers,DC=crm1,DC=local"))
{
crmuser.RefreshCache(new string[] { "tokenGroups" });
builder.Append("(|");
foreach (byte[] sid in crmuser.Properties["tokenGroups"])
{
// tokenGroupsの値をSID文字列に変換して、フィルタ条件に設定
builder.AppendFormat("(objectSid={0})", ToObjectSidString(sid));
}
builder.Append(")");
}
using (DirectoryEntry searchRoot = GetDirectoryEntry("DC=crm1,DC=local"))
{
DirectorySearcher ds = new DirectorySearcher(searchRoot, builder.ToString());
using (SearchResultCollection searchResultCollection = ds.FindAll())
{
foreach (SearchResult searchResult in searchResultCollection)
{
Console.WriteLine(searchResult.Properties["samAccountName"][0]);
}
}
}
}
private static string ToObjectSidString(byte[] bytes)
{
StringBuilder builder = new StringBuilder();
for (int i = 0; i < bytes.Length; ++i)
{
builder.AppendFormat(@"\{0}", bytes[i].ToString("X2"));
}
return builder.ToString();
}
private static DirectoryEntry GetDirectoryEntry(string dn)
{
return new DirectoryEntry("LDAP://" + dn, null, null, AuthenticationTypes.Secure);
}
tokenGroupsはconstructedな属性値のため、RefreshCacheを使用して、取得する必要があります。取得した全ての所属グループのSIDを DirectorySearcher のフィルタ条件(objectSid)にしています。
実行結果は次のようになります。
Domain Users
Users
2. IdentityReferenceCollection を使用してグループを取得する
tokenGroups 属性値の SIDから IdentityReferenceCollection.Translate メソッドを使用して System.Security.Principal.NTAccount 型 に変換してグループ名を列挙します。
public static void RetrieveGroupsPattern2()
{
using (DirectoryEntry crmuser = GetDirectoryEntry("CN=crmuser03,OU=CrmUsers,DC=crm1,DC=local"))
{
crmuser.RefreshCache(new string[] { "tokenGroups" });
IdentityReferenceCollection identityReferenceCollection = new IdentityReferenceCollection();
foreach (byte[] tokenGroup in crmuser.Properties["tokenGroups"])
{
identityReferenceCollection.Add(new SecurityIdentifier(tokenGroup, 0));
}
identityReferenceCollection = identityReferenceCollection.Translate(typeof(NTAccount));
foreach (NTAccount account in identityReferenceCollection)
{
Console.WriteLine(account.Value);
}
}
}
実行結果は次のようになります。
BULTIN\Users
CRM1\Domain Users
3. おわり
説明は以上です。 誤り等があればご指摘ください。