Чи може запит LDAP в AD надати доменне ім’я netbios для одного облікового запису при використанні Глобального каталогу?

Я використовую редактор ADSI для перегляду властивостей LDAP одного облікового запису користувача в AD. Я бачу такі властивості, як userPrincipalName, але я не бачу жодного повноцінного доменного імені (FQDN) або доменного імені netbios.

Ми створимо Глобальний каталог (GC), щоб надати нам доступ LDAP до декількох доменів, а через конфігурацію в додатку будемо зіставляти властивості LDAP з властивостями профілю користувача в програмі. При типовому AD доменне ім'я FQDN та netbios однакові для всіх користувачів, але за участю GC нам потрібна ця додаткова інформація. Нам дійсно потрібно лише доменне ім'я netbios (FQDN недостатньо хороший).

Можливо, є запит LDAP, який можна зробити, щоб запитати цю інформацію від більш об’єкта верхнього рівня в AD?

Я думаю, я це зрозумів. За допомогою редагування ADSI можна переглянути властивості об’єкта (наприклад, користувача), але за замовчуванням він фільтрував "побудовані" атрибути. За допомогою кнопки «Фільтр» в нижній правій частині екрана властивостей я зміг показати ці додаткові атрибути.

Здається, що "msDS-PrincipalName" має значення "[доменне ім'я netbios] \ [sAMAccountName]".

Якщо я зайти в Користувачі та комп’ютери AD та зміню "Ім'я користувача" з "gwasington@test.kirkdev.local" на "gwash2ington@test.kirk2dev.local", це впливає на атрибут "userPrincipalName", але не на "msDS- Атрибут PrincipalName ". Це добре в моєму випадку, оскільки моя інша система (SharePoint) не визнає цієї зміни.

Якщо я ввійду в AD Користувачі та комп’ютери та зміню "Ім'я користувача для входу (до Windows 2000)" з "KIRKDEV \ gwashington" на "KIRKDEV \ g2washington" (зауважте, що я не можу змінити першу частину), це не впливає. «UserPrincipalName» атрибут, але це впливає на атрибут «MSDS-PrincipalName». Це саме те, що я хочу, тому що моя інша система (SharePoint) визнає цю зміну.

Бічна примітка: Я сказав, що SharePoint визнає зміни, але це лише в тому випадку, якщо користувач ніколи раніше не входив у цю колекцію сайтів SharePoint. Після того як користувач увійшов у колекцію сайтів SharePoint, поле tp_Login в таблиці UserInfo встановлюється зі значенням "msDS-PrincipalName" і це, схоже, не змінюється. Тож, можливо, мені доведеться знайти спосіб змусити це змінити або просто сказати, що цей сценарій не підтримується.

Щоб відповісти на ваше останнє запитання, ви повинні мати можливість перевірити ім'я NetBios вручну, перевіривши розділ Конфігурація, а потім розділи Каталог у ADSIEdit:

CN=MYNETBIOSNAME,CN=Partitions,CN=Configuration,DC=mydomain,DC=internal

Це має nameі netBIOSNameвластивості, і властивості. Інакше я думаю, що вам доведеться отримати його від fqdn / DN, як пропонує скулкмен.

Для заявки? Microsoft робить це досить просто в .NET. Це має надати вам список доменних імен Netbios, які ви можете використовувати для створення списку користувацьких об'єктів із доменними DN / DNS / Netbios іменами або перехресними посиланнями.

Крім того, те, що визначає, чи доступний атрибут у Глобальному каталозі, є (ще одним) атрибутом, який називаєтьсяMemberOfPartialAttributeSet. Використовуючи Microsoft SysInternals AD Explorer, ви можете шукати контейнер схеми у домені та шукати будь-який об’єкт, у якого isMemberOfPartialAttributeSet = true, щоб побачити всі атрибути, доступні для запиту GC.

using System.DirectoryServices;
using System.DirectoryServices.ActiveDirectory;

private void GetNetbiosNamesTest()
{
    DomainCollection domains = Forest.GetCurrentForest().Domains;
    foreach (Domain domain in domains)
    {
        Console.WriteLine("Domain Netbios name: {0}", this.GetDomainNetBiosName(domain));
    }
}

private string GetDomainNetBiosName(Domain domain)
{
    ForestRootDirectoryEntry = Forest.GetCurrentForest().RootDomain.GetDirectoryEntry();
    string forestConfigurationBindPath = String.Format("LDAP://CN=Partitions,CN=Configuration,{0}", ForestRootDirectoryEntry.Properties["distinguishedName"].Value);
    ForestRootConfigurationDirectoryEntry = new DirectoryEntry(forestConfigurationBindPath);

    string netBiosName = String.Empty;

    using (DirectorySearcher directorySearcher = new DirectorySearcher(ForestRootConfigurationDirectoryEntry))
    {
        directorySearcher.Filter = String.Format("(&(nETBIOSName=*)(dnsRoot={0}))", domain.Name);
        directorySearcher.PropertiesToLoad.AddRange(new String[] { "dnsRoot", "nETBIOSName" });
        var result = directorySearcher.FindOne();

        if ((result != null) && (result.Properties.Contains("nETBIOSName"))) netBiosName = result.Properties["nETBIOSName"][0].ToString();
    }
    return netBiosName;
}

Вам доведеться проаналізувати його або з dn(izdName), або з AdsDSPathатрибутів. Суб'єкти доменних імен мають "DC="у цих атрибутах префікс . DC=Найменше ліворуч буде містити ваше доменне ім’я netbios.

Наприклад: cn=myuser,ou=users,dc=mydomain,dc=mycompany,dc=com

mydomain - це доменне ім'я netbios.

EDIT:
Як зазначає Брайан Дезмонд, це не обов'язково є авторитетним способом пошуку власне імені netbios, вони просто співпадають. Дивіться відповідь BoyMars про авторитетний спосіб.

Якщо у вас є ім'я головного користувача або DN, ви можете використовувати бібліотеку ActiveDS COM для перекладу значень. Нижче наведено приклад перекладу UserPrincipalName в ім'я NT4 (NetBios).

using System;
using System.Collections.Generic;
using System.Linq;
using System.Text;
using ActiveDs;

namespace Foo.Repository.AdUserProfile
{
    public class ADUserProfileValueTranslate
    {
        public static string ConvertUserPrincipalNameToNetBiosName(string userPrincipleName)
        {
            NameTranslate nameTranslate = new NameTranslate();
            nameTranslate.Set((int)ADS_NAME_TYPE_ENUM.ADS_NAME_TYPE_USER_PRINCIPAL_NAME, userPrincipleName);
            return nameTranslate.Get((int) ADS_NAME_TYPE_ENUM.ADS_NAME_TYPE_NT4);
        }
    }
}