前言

增删改查,我想查询是最先要说的一个了。本章主要记录使用.NET Framework进行对域控服务器对象的查询操作,介绍DirectoryEntry与DirectorySearcher(搜索器)及Filter(搜索过滤器)语法,并对AD对象常用属性做记录。

DirectoryEntry与DirectorySearcher

使用C#语言对域控服务器的AD对象进行查询操作,DirectoryEntry和DirectorySearcher是必须要了解的两个类。System.DirectoryServices 命名空间用以从托管代码简便地访问 Active Directory。该命名空间包含了两个组件类,即DirectoryEntryDirectorySearcher,它们使用AD服务接口(ADSI)技术。

DirectoryEntry:我们知道Active Directory中的数据是树状的,并且是层次型存储。而DirectoryEntry类就是为了封装 Active Directory 层次结构中的节点或对象。使用此类绑定到对象、读取属性和更新特性。DirectoryEntry 与帮助器类一起为生存期管理和导航方法提供支持,包括创建、删除、重命名、移动子节点和枚举子级。

https://msdn.microsoft.com/zh-cn/library/system.directoryservices.directoryentry_members(v=vs.80).aspx

DirectorySearcher:顾名思义这个对象是主要执行针对Active Directory域服务的查询。

https://msdn.microsoft.com/zh-cn/library/system.directoryservices.directorysearcher(v=vs.110).aspx

目前我的域控服务器在域上AD对象结构如下:

一段示例代码,目的是查询用户李四

      static void Main(string[] args)

         {

             //声明一个AD对象搜索器

             DirectorySearcher searcher = new DirectorySearcher();

             //设置此搜索器的搜索起点

             searcher.SearchRoot = DomainRootEntry();

             //设置此搜索器的搜索语句

             searcher.Filter = "(&(objectClass=user)(name=李四))";

             //设置此搜索器的查询范围

             searcher.SearchScope = SearchScope.Subtree;

             //执行查询,有FindOne与FindAll之别

             SearchResult result = searcher.FindOne();

             if (result != null)

             {

                 //转换为李四对象

                 DirectoryEntry userEntry = result.GetDirectoryEntry();

             }

         }

         /// <summary>

         /// 域控服务器IP

         /// </summary>

         private static string DomainServiceIP = "192.168.241.3";

         /// <summary>

         /// 域控服务器用户名

         /// </summary>

         private static string UserName = @"Domain";

         /// <summary>

         /// 域控服务器密码

         /// </summary>

         private static string Password = "p@ssw0rd";

         /// <summary>

         /// 获取域控服务器中域节点对象

         /// </summary>

         public static DirectoryEntry DomainRootEntry()

         {

             DirectoryEntry rootEntry = null;

             try

             {

                 rootEntry = new DirectoryEntry("LDAP://" + DomainServiceIP, UserName, Password);

                 return rootEntry;

             }

             catch (Exception ex)

             {

                 throw ex;

             }

         }

这里的DirectoryEntry对象封装 Active Directory 域层次结构中的节点对象。通过DirectorySearcher搜索器来查询用户李四。如代码所示DirectorySearcher对象使用有几个地方要了解。

SearchRoot:获取或设置一个值(DirectoryEntry对象,一般为DC或者OU),该值指示 Active Directory 域服务层次结构中的节点,从该节点处开始搜索。说白了就是说我这个查询器查询从这个节点开始向下查询包括这个节点。

SearchScope:获取或设置指示服务器遵循的搜索范围的值。为SearchScope的enmu类型。

      //指定使用 System.DirectoryServices.DirectorySearcher 对象执行的目录搜索的可能范围。

         public enum SearchScope

         {

             //     将搜索限于基对象。结果最多包含一个对象。当 System.DirectoryServices.DirectorySearcher.AttributeScopeQuery

             //     属性指定用于某一搜索时,搜索范围必须设置为 System.DirectoryServices.SearchScope.Base。

             Base = ,

             //     搜索基对象的直接子对象,但不搜索基对象。

             OneLevel = ,

             //     搜索整个子树,包括基对象及其所有子对象。如果未指定目录搜索的范围,则执行 System.DirectoryServices.SearchScope.Subtree

             //     类型的搜索。

             Subtree =

         }

FindOne();与FindAll();的区别:FindOne执行搜索返回搜索过程中找到的第一项,返回结果为一个System.DirectoryServices.SearchResult对象。而FindAll执行搜索并返回找到的项的集合,返回结果是System.DirectoryServices.SearchResultCollection对象。

剩下的就是这个Filter比较复杂了,我们继续往下看。

Filter语法详解及属性扩充

Filter:(官方解读为:搜索过滤器)它为DirectorySearcher(搜索器)定义一个搜索条件,为的是使我们的搜索器更有效的搜索。有点像ADO中的T-SQL语句。Filter属性值以 LDAP 格式表示的筛选条件,用Unicode字符串表示。下表列出了一些例子。

Search filter(搜索过滤器) Description(描述)
"(objectClass=*)" 所有的对象。
"(&(objectCategory=person)(objectClass=user)(!cn=andy))" 所有的用户对象,但“andy”除外
"(sn=sm*)" 所有对象的满足姓氏从“SM”开头。
"(&(objectClass=user)(name=李四))" 所有名称为李四的用户对象

Filter语法详解:

表达式:属性名=Value

通配符:“*”,该字符出现在表达式Value中,匹配该字符位置后的内容,类似于SQL中的“%”;例子如下:

Search filter(搜索过滤器)
Description(描述)
”(objectClass=*)“ 得到所有对象
“(cn=*bob*)” 得到的对象,名称含有“bob”:
”(&(objectClass=user)(email=*))“ 得到包含电子邮件属性的所有用户:

逻辑运算符:

Logical operator(逻辑运算符) Description(描述)
= 等于
&
|
!
~= 约等于
<= 字典序小于或者等于
>= 字典序大于或者等于

语法类型:(Key=Value)为一个表达式,两个表达式满足某些条件(|或、&且、!非)则放在两个表达前面并用括号括起来。如:(&(objectClass=user)(mobile=132*)) ,电话为132开头的所有用户。(&(表达式1=value)(表达式2=value)),该filter结果为取表达式1和表达式2同时匹配的内容。

 特殊字符:如果以下任何特殊字符必须出现在搜索过滤的文字中,他们必须通过的转义替换。

ASCII字符 转义替代
 *  \2a
( \28
) \29
\ \5c
NULL \00
/ \2f

DirectorySearcher.Filter类型属性扩充说明(不区分大小写):

筛选条件
(objectClass=domainDNS)
组织单位 (objectClass=organizationalUnit)
用户 (&(objectCategory=person)(objectClass=user))或者(&(objectClass=User)(!objectClass=computer))
计算机 (objectCategory=computer)
(objectCategory=group)
联系人 (objectCategory=contact)
共享文件夹 (objectCategory=volume)
打印机 (objectCategory=printQueue)

以上是一些常用类型检索条件,值得注意的是(objectClass=user)并不只是检索用户还包括计算机。所以要要做处理。当然检索的条件不知以上这些。AD中对象的属性都可以做检索条件,我们最后看看AD中的对象属性有哪些是我们常用的。

Active Directory常用属性

 用户(User)常用选项卡中的属性

选项卡项名 属性名 备注
名称 name 在同一节点下唯一,string
姓(L) sn  string
名(F) givenName  string
英文缩写(I) initials  string
显示名称(S) displayName 域内不唯一,但是在同一个组织单位内唯一
描述(D) description  string[]
办公室(C) physicalDeliveryOfficeName  string
电话号码(T) telephoneNumber  string
电子邮件(M) mail  string
网页(W) wWWHomePage  string

选项卡项名 属性名 备注
用户登录名(U) userPrincipalName 全域内唯一,string
用户登录名(Windows 2000 以前版本)(W) sAMAccountName 全域内唯一,string

选项卡项名 属性名 备注
国家/地区(O) co       string
省/自治区(V) st  string
市/县(C) l  string
街道(S) streetAddress  string
邮政信箱(B) postOfficeBox  string[]
邮政编码(Z) postalCode  string

选项卡项名 属性名 备注
家庭电话(M) homePhone  string
寻呼机(P) pager  string
移动电话(B) mobile  string
传真(F) facsimileTelephoneNumber  string
IP电话(I) ipPhone  string
注释 info  string

选项卡项名 属性名 备注
公司(C)    company   string
部门(D)    department              string
职务(J)      title  string
经理-姓名(N)    manager                     string
直接下属(E) directReports  string[]

组织单位(Organizational Unit)常用选项卡中的属性

选项卡项名 属性名 备注
名称 name 在同一节点下唯一,string
描述(D) description  string[]
国家/地区(O) co  string
邮政编码(Z) postalCode  string
省/自治区(V) st  string
市/县(C) l  string
街道(S) street  string

Active Directory的隐藏通用属性

这一部分属性,在选项卡上是看不到的,必须在【属性编辑器】中才能查看到:

属性 备注
objectGUID 全域内唯一,对象创建时自动生成的,16进制所以在DirecotryEntry中接受时要做数据处理。
distinguishedName 全域内唯一,对象创建或者移动时自动生成。详细请看上章。
objectClass 对象创建时自动创建
cn 常用于User或者Computer,与name相同。
ou 常用于Ou,与name同属性。

大约整理出这些常用属性,若想查看更多有两种方式:第一种查看属性的属性编辑器,第二种遍历DirectoryEntry.Properties.PropertyNames;

结语

这些属性根据业务场景不同用的多少也会不同。有时候可能会使用一些不常用的属性存储与业务处理有关的数据,因为AD中的数据存储不想关系型数据库,所以在AD中一些不常用的属性我们会根据不同业务场景去为逻辑变成做铺垫。Filter语法的话其实和LDAP协议有着很密切的关系但这里就不说了。主要是DirectoryEntry和DirectorySearcher这两个类对象,在后面DirectoryEntry做AD编程时将无处不在,它是一个入口。鉴于目前.NET Core 没有更新System.DirectoryServices;。所以以后若使用PowerShell那就另外再说了。

本章最后更新时间:2017年4月23日18:10:13

作者:IFire47 出处:http://www.cnblogs.com/IFire47/

 
本文版权作者博客园共有,欢迎转载。未经作者同意下,必须在文章页面明显标出原文链接及作者,否则保留追究法律责任的权利。
 
个人原创,若有错误或补充请联系修改。本文会根据作者的一步步成长做一定程度的更新和补充。

Active Directory的DirectoryEntry与DirectorySearcher初识及Filter语法的更多相关文章

  1. C# AD(Active Directory)域信息同步,组织单位、用户等信息查询

    示例准备 打开上一篇文章配置好的AD域控制器 开始菜单-->管理工具-->Active Directory 用户和计算机 新建组织单位和用户   新建层次关系如下: 知识了解 我们要用C# ...

  2. C#操作Active Directory(AD)详解

    1. LDAP简介 LDAP(轻量级目录访问协议,Lightweight Directory Access Protocol)是实现提供被称为目录服务的信息服务.目录服务是一种特殊的数据库系统,其专门 ...

  3. 如何通过使用窗体身份验证和 Visual C#.NET 对 Active Directory 验证身份

    本分步指南演示如何在 ASP.NET 应用程序如何使用窗体身份验证允许用户使用轻型目录访问协议 (LDAP),对 Active Directory 进行验证.经过身份验证的用户重定向之后,可以使用Ap ...

  4. 操作Active Directory C#

    .Net平台操作活动目录Active Directory,使用System.DirectoryServices.ActiveDirectory,主要是User OU 和Group的操作. 代码运行了一 ...

  5. Active Directory组织单位(Organizational Unit)操作汇总

    前言 本章聊Active Directory的组织单位(OU)的新增.修改.移动等操作,使用.NET Framework 为我们提供的System.DirectoryServices程序集. 不积跬步 ...

  6. Active Directory的LDAP协议与DN(Distinguished Name)详解

    前言 光copy几段代码的文章没什么意思,本章上最基础的代码,主要是为了从编程方面聊LDAP和DN,其它的后面聊,一步步慢慢来吧. Active Directory编程须知 1.域控服务器: Wind ...

  7. 通过LDAP验证Active Directory服务

    原文地址:http://www.byywee.com/page/M0/S215/215725.html C#: using System; using System.Collections.Gener ...

  8. CAS FOR WINDOW ACTIVE DIRECTORY SSO单点登录

    一.CAS是什么? CAS(Central Authentication Service)是 Yale 大学发起的一个企业级的.开源的项目,旨在为 Web 应用系统提供一种可靠的单点登录解决方法(支持 ...

  9. AD域的安装(在Windows Server 2003中安装Active Directory)

    在Active Directory中提供了一组服务器作为身份验证服务器或登录服务器,这类服务器被称作域控制器(Domain Controller,简称DC).建立一个AD域的过程实际就是在一台运行Wi ...

随机推荐

  1. LibreOJ2095 - 「CQOI2015」选数

    Portal Description 给出\(n,k,L,R(\leq10^9)\),求从\([L,R]\)中选出\(n\)个可相同有顺序的数使得其gcd为\(k\)的方案数. Solution 记\ ...

  2. [NOIP2009] 最优贸易 (最短路,分层图)

    题目链接 Solution 分层图+\(SPFA\). 建立3层图,其中每一层之中的边权赋为0. 对于任意一条边 \(t\) ,其起点 \(x\) 和终点 \(y\). 我们将 \(x\) 在第一层的 ...

  3. Unity 导出的android项目自动生成Private Libraries

    如果Unity里面Plugins/Android 添加了 jar 文件,则导出Android 项目时会自动生成 Private Libraries. 而且里面的项还删不掉 然后在网上搜了一下,找到了原 ...

  4. 【CF314C】Sereja and Subsequences(DP,树状数组)

    题意:给定一个N个数的数列,求所有不同不下降子序列的乘积之和,其中不同指的是组成它的数字和长度不完全相同 n (1 ≤ n ≤ 10^5) a[i]<=10^6 思路:考虑DP.设DP[a[i] ...

  5. 高阶函数之函数柯里化function currying

    var cost = (function(){    var args = [];    return function(){        if(arguments.length === 0){   ...

  6. Chrome 浏览器如何完美实现滚动截图技巧

    一.前言 我们平时在浏览网页时,想把碰到好的网页内容或者文章截屏保存,但是网页的长度常常会超出屏幕高度,一般的截屏功能只能截取显示在屏幕上的内容,那我们该如何方便快捷截取全部内容?今天就分享一个如何利 ...

  7. JavaSwing仿QQ登录界面,注释完善,适合新手学习

    使用说明: 这是一个java做的仿制QQ登录界面,界面仅使用一个类, JDK版本为jdk-11 素材包的名字为:素材(下载)请在项目中新建一个名字为“素材”的文件夹. 素材: https://pan. ...

  8. IntelliJ IDEA重构技巧收集

    https://segmentfault.com/a/1190000002488608(重命名文件) http://www.jianshu.com/p/ab298b46bf50(快速生成方法) htt ...

  9. DBCC

    http://www.cnblogs.com/lyhabc/archive/2013/01/19/2867174.html http://www.cnblogs.com/lyhabc/articles ...

  10. js和jquery 实现网站来消息网站标题闪动提示

    js版 <html xmlns="http://www.w3.org/1999/xhtml" > <head runat="server"&g ...