活动目录（Active Directory）小结

标题：活动目录（Active Directory）小结

关键词：活动目录 AD ADSI LDAP

作者：JRQ

链接：http://blog.csdn.net/jrq/archive/2007/03/17/1531812.aspx

正文：

1.活动目录（AD）

Active Directory 是用于 Windows Server 的目录服务。
它存储着网络上各种对象的有关信息，并使该信息易于管理员和用户查找及使用。
Active Directory 目录服务使用结构化的数据存储作为目录信息的逻辑层次结构的基础。
通过登录验证以及目录中对象的访问控制，将安全性集成到 Active Directory 中。

目录服务，如 Active Directory，提供了用于存储目录数据并使该数据可由网络用户和管理员使用的方法。
例如，Active Directory 存储了有关用户帐户的信息，如名称、密码、电话号码等，并允许相同网络上的其他已授权用户访问该信息。

2.LDAP

LDAP是轻量目录访问协议，英文全称是Lightweight Directory Access Protocol。
LDAP是基于X.500标准的。
LDAP 仅通过使用原始 X.500目录存取协议 (DAP) 的功能子集而减少了所需的系统资源消耗。
与X.500不同，LDAP支持TCP/IP，这对访问Internet是必须的。
LDAP和关系数据库是两种不同层次的概念，后者是存贮方式（同一层次如网格数据库，对象数据库），前者是存贮模式和访问协议。
LDAP是一个比关系数据库抽象层次更高的存贮概念，与关系数据库的查询语言SQL属同一级别。

3.ADSI

在Delphi中可以使用微软的ADSI（活动目录服务接口）来访问活动目录。
ADSI是一组以COM接口的形式提供目录服务的，是为基于目录服务提供的通用接口。
一些标准的ADSI提供者（Provider）有WinNT、IIS、LDAP和NDS。
可以通过ADSI存取四种网络目录结构：
WinNT (Microsoft SAM 数据库)、LDAP (轻量目录存取协议)、NDS (NetWare目录服务)和NWCOMPAT(Novell NetWare 3.x)。
ADSI可以使Windows NT 管理员的工作变得轻松。
ADSI支持管理员执行一些一般的管理任务，比如添加新用户、管理打印机、安全设定和控制NT域。
因为ADSI使用COM接口，任何支持COM的编程语言像Delphi、BCB、VB、VC等都可以调用ADSI。

如在Delphi中调用ADSI，则需要引入活动目录类型库。
操作如下：
在IDE中，Project--->Import Type Library。
选择“Active Ds Type Library(Version 1.0)”，单击“Create Unit”。
Delphi会做相应的封装，生成ActiveDs_TLB.pas文件。
Uses ActiveDs_TLB，就可以在Delphi程序中使用ADSI了。

4.JAVA+LDAP访问Window 2000 Server AD。

package ADOper;

import java.util.Hashtable;
import javax.naming.Context;
import javax.naming.ldap.LdapContext;
import javax.naming.ldap.InitialLdapContext;
import javax.naming.NamingEnumeration;
import javax.naming.directory.SearchControls;
import javax.naming.directory.SearchResult;
import javax.naming.NamingException;
import javax.naming.directory.Attribute;
import javax.naming.directory.Attributes;
import java.util.Enumeration;

public class ADOperTest {
public ADOperTest() {
}

public void GetADInfo() {
Hashtable HashEnv = new Hashtable();

String LDAP_URL = "ldap://192.168.100.3:389"; //LDAP访问地址
//String adminName = "CN=OAWebUser,CN=Users,DC=Hebmc,DC=com";//AD的用户名
String adminName = "Hebmc\\OAWebUser"; //注意用户名的写法：domain\User 或 User@domain.com
adminName = "OAWebUser@Hebmc.com"; //注意用户名的写法：domain\User 或 User@domain.com
String adminPassword = "chenzuooaup02"; //密码

HashEnv.put(Context.SECURITY_AUTHENTICATION, "simple"); //LDAP访问安全级别
HashEnv.put(Context.SECURITY_PRINCIPAL, adminName); //AD User
HashEnv.put(Context.SECURITY_CREDENTIALS, adminPassword); //AD Password
HashEnv.put(Context.INITIAL_CONTEXT_FACTORY,"com.sun.jndi.ldap.LdapCtxFactory"); //LDAP工厂类
HashEnv.put(Context.PROVIDER_URL, LDAP_URL);

try {
LdapContext ctx = new InitialLdapContext(HashEnv, null);
SearchControls searchCtls = new SearchControls(); //Create the search controls
searchCtls.setSearchScope(SearchControls.SUBTREE_SCOPE); //Specify the search scope

String searchFilter = "objectClass=User"; //specify the LDAP search filter
//String searchFilter = "objectClass=organizationalUnit";//specify the LDAP search filter

String searchBase = "DC=Hebmc,DC=com"; //Specify the Base for the search//搜索域节点
int totalResults = 0;

//Specify the attributes to return
//String returnedAtts[] = {"memberOf"};//定制返回属性
String returnedAtts[] = {
"url", "whenChanged", "employeeID", "name", "userPrincipalName",
"physicalDeliveryOfficeName", "departmentNumber", "telephoneNumber",
"homePhone", "mobile", "department", "sAMAccountName", "whenChanged",
"mail"}; //定制返回属性

searchCtls.setReturningAttributes(returnedAtts); //设置返回属性集

//Search for objects using the filter
NamingEnumeration answer = ctx.search(searchBase, searchFilter,searchCtls);

while (answer.hasMoreElements()) {
SearchResult sr = (SearchResult) answer.next();
System.out.println("************************************************");
System.out.println(sr.getName());

Attributes Attrs = sr.getAttributes();
if (Attrs != null) {
try {
for (NamingEnumeration ne = Attrs.getAll(); ne.hasMore(); ) {
Attribute Attr = (Attribute) ne.next();

System.out.println(" AttributeID=" + Attr.getID().toString());

//读取属性值
for (NamingEnumeration e = Attr.getAll(); e.hasMore();totalResults++) {
System.out.println(" AttributeValues=" + e.next().toString());
}
System.out.println(" ---------------");

//读取属性值
Enumeration values = Attr.getAll();
if (values != null) { // 迭代
while (values.hasMoreElements()) {
System.out.println(" AttributeValues=" + values.nextElement());
}
}
System.out.println(" ---------------");
}
}
catch (NamingException e) {
System.err.println("Throw Exception : " + e);
}
}
}
System.out.println("Number: " + totalResults);
ctx.close();
}

catch (NamingException e) {
e.printStackTrace();
System.err.println("Throw Exception : " + e);
}
}

public static void main(String args[]) {
ADOperTest ad = new ADOperTest();
ad.GetADInfo();
}
}

备注：

使用LADP访问AD，注意用户名的写法：domain\User 或 User@domain.com。

如用户名不正确，则可能会出现如下异常：

javax.naming.AuthenticationException: [LDAP: error code 49 - 80090308: LdapErr: DSID-0C090334, comment: AcceptSecurityContext error, data 525, vece

5.Delphi7使用WinNT Provider访问Window 2000 Server AD。

unit Unt_AD;

interface

uses
Windows, Messages, SysUtils, Variants, Classes, Graphics, Controls, Forms,
Dialogs, StdCtrls, ComCtrls, ActiveDs_TLB, ActiveX, ComObj;

type
TMainFrm = class(TForm)
grp1: TGroupBox;
cbUseLogin: TCheckBox;
lbl1: TLabel;
ADSIUsername: TEdit;
lbl2: TLabel;
ADSIPassword: TEdit;
ADSIDomainName: TEdit;
btn1: TButton;
lbl3: TLabel;
GroupListView: TListView;
ComputerListView: TListView;
SeverListView: TListView;
UserListView: TListView;
lbl4: TLabel;
lbl5: TLabel;
Label1: TLabel;
lbl6: TLabel;
procedure btn1Click(Sender: TObject);
private
{ Private declarations }
procedure GetDomainInformation(Domain: IADsContainer);
procedure AddUserToList(ADsObj:IADs);
procedure AddGroupToList(ADsObj:IADs);
procedure AddComputerToList(ADsObj:IADs);
public
{ Public declarations }
end;

//连接 Win NT 目录服务就是找到域控制器然后绑定到相应的对象上。
//绑定可以通过 ADsGetObject 或 ADsOpenObject 函数来实现。
//第一个函数使用登录用户缺省的信任级别，
//第二个函数允许开发者指定特殊的安全信任机制来绑定 ADSI 对象。

//缺省条件下，ADsGetObject函数根据当前用户进行安全认证。
function ADsGetObject(lpszPathName: PWideChar; //第一个参数是对象的路径名
const riid: TIID; //第二个参数是对象的接口标识符
out obj): HResult; stdcall; external 'activeds.dll';// 第三个参数用于返回得到的被请求的接口指针

//ADsOpenObject 函数在不同的安全认证机制下绑定 ADSI 对象，
//它主要是通过调用参数返回的用户名和口令来认证的
function ADsOpenObject(lpszPathName: PWideChar; //第一个参数是对象的路径名
lpszUserName: PWideChar; //第二个参数是调用者提供的用户名
lpszPassword: PWideChar; //第三个参数是调用者提供的口令
dwReserved: LongInt; //第四个参数是一个保留的 provider 标识，用来确定绑定的认证方法
const riid: TIID; //第五个参数是请求接口的接口标识符，
out obj): HResult; stdcall; external 'activeds.dll'; //最后一个参数用来返回请求的接口指针。

var
MainFrm: TMainFrm;

implementation

{$R *.dfm}

// 获取域信息
procedure TMainFrm.GetDomainInformation(Domain: IADsContainer);
var
Enum: IEnumVariant;
ADsTempObj: OLEVariant;
ADsObj: IADs;
Value: LongWord;
begin
//清空用户、组和计算机列表
UserListView.Items.Clear;
GroupListView.Items.Clear;
ComputerListView.Items.Clear;

//获取枚举对象，并赋值给 Enum 变量
Enum := (Domain._NewEnum) as IEnumVariant;

//利用枚举对象查找，把每个子对象赋值给临时的 OLEVariant 对象
while (Enum.Next(1, ADsTempObj, Value) = S_OK) do
begin
ADsObj := IUnknown(ADsTempObj) as IADs; //获得临时对象：OLEVariant 变量赋值给 ADSI 对象

if AdsObj.Class_ = 'User' then //如果是用户对象
AddUserToList(ADsObj);

if AdsObj.Class_ = 'Group' then //如果是组对象
AddGroupToList(ADsObj);

if AdsObj.Class_ = 'Computer' then //如果是计算机对象
AddComputerToList(ADsObj);

ADsTempObj:=Null; //释放OLEVariant
end;
end;

procedure TMainFrm.AddUserToList(ADsObj:IADs);
var aListItem:TListItem;
begin
aListItem:=UserListView.Items.Add;
aListItem.Caption:=ADsObj.Name;
aListItem.SubItems.Add(ADsObj.Class_);
aListItem.SubItems.Add(ADsObj.ADsPath);
aListItem.SubItems.Add(ADsObj.Parent);
// aListItem.SubItems.Add(ADsObj.Get('sAMAccountName'));
end;

procedure TMainFrm.AddGroupToList(ADsObj:IADs);
var aListItem:TListItem;
begin
aListItem:=GroupListView.Items.Add;
aListItem.Caption:=ADsObj.Name;
aListItem.SubItems.Add(ADsObj.Class_);
aListItem.SubItems.Add(ADsObj.ADsPath);
end;

procedure TMainFrm.AddComputerToList(ADsObj:IADs);
var aListItem:TListItem;
begin
aListItem:=ComputerListView.Items.Add;
aListItem.Caption:=ADsObj.Name;
aListItem.SubItems.Add(ADsObj.Class_);
aListItem.SubItems.Add(ADsObj.ADsPath);
end;

procedure TMainFrm.btn1Click(Sender: TObject);
var
UnknownObject: IUnknown;
DomainPath,ADUser,ADPass: WideString;
Domain: IADsContainer;
begin
// 指定域路径
DomainPath := 'WinNT://' + ADSIDomainName.Text;
ADUser:= ADSIUsername.Text;
ADPass:= ADSIPassword.Text;

DomainPath := 'WinNT://Hebmc.com';
ADUser: ADUser:= 'Hebmc\OAWebUser'; //注意用户名称的写法：domain\User 或 User@domain.com
ADUser:= 'OAWebUser@Hebmc.com'; //注意用户名称的写法：domain\User 或 User@domain.com
ADPass:= 'chenzuooaup02';

// 如果使用用户登录了信息
if cbUseLogin.Checked then // 使用用户登录的信息创建域对象
OleCheck(AdsOpenObject(PWideChar(DomainPath),
PWideChar(ADUser),
PWideChar(ADPass),
0,
IID_IADsContainer,
UnknownObject))
else
OleCheck(ADsGetObject(PWideChar(DomainPath),
IID_IADsContainer,
UnknownObject));

// 设定域对象
Domain := UnknownObject as IADsContainer;

// 从域中获得信息列表
GetDomainInformation(Domain);
end;

end.

备注：

*.注意用户名的写法：domain\User 或 User@domain.com。

*.Delphi使用WinNT Provider方式访问AD，在使用ADsObj.Get('属性')时，会有一个报错：“高速缓存中找不到目录属性。” （The directory property cannot be found in the cache）。
目前该问题还不知如何解决。

*.资料参考《Delphi深度探索-活动目录开发》。
作者：陈省（Hubdog）。 http://hubdog.csdn.net/。

6.Delphi7使用LDAP访问Window 2000 Server AD。

unit Main;

interface

uses
Windows, Messages, SysUtils, Variants, Classes, Graphics, Controls, Forms,
Dialogs, StdCtrls, ActiveDs_TLB, ActiveX, ComObj;

type
TMainFrm = class(TForm)
Button1: TButton;
ObjMemo: TMemo;
OUMemo: TMemo;
UserMemo: TMemo;
cbUseLogin: TCheckBox;
Obj_Label: TLabel;
OU_Label: TLabel;
Users_Label: TLabel;
procedure Button1Click(Sender: TObject);
private
{ Private declarations }
public
{ Public declarations }
procedure GetADInfo(aUser,aPass,aDomainPath: WideString);
end;

//连接 Win NT 目录服务就是找到域控制器然后绑定到相应的对象上。
//绑定可以通过 ADsGetObject 或 ADsOpenObject 函数来实现。
//第一个函数使用登录用户缺省的信任级别，
//第二个函数允许开发者指定特殊的安全信任机制来绑定 ADSI 对象。

//缺省条件下，ADsGetObject函数根据当前用户进行安全认证。
function ADsGetObject(lpszPathName: PWideChar; //第一个参数是对象的路径名
const riid: TIID; //第二个参数是对象的接口标识符
out obj): HResult; stdcall; external 'activeds.dll';// 第三个参数用于返回得到的被请求的接口指针

//ADsOpenObject 函数在不同的安全认证机制下绑定 ADSI 对象，
//它主要是通过调用参数返回的用户名和口令来认证的
function ADsOpenObject(lpszPathName: PWideChar; //第一个参数是对象的路径名
lpszUserName: PWideChar; //第二个参数是调用者提供的用户名
lpszPassword: PWideChar; //第三个参数是调用者提供的口令
dwReserved: LongInt; //第四个参数是一个保留的 provider 标识，用来确定绑定的认证方法
const riid: TIID; //第五个参数是请求接口的接口标识符，
out obj): HResult; stdcall; external 'activeds.dll'; //最后一个参数用来返回请求的接口指针。

var
MainFrm: TMainFrm;

implementation

{$R *.dfm}

procedure TMainFrm.Button1Click(Sender: TObject);
var DomainPath,ADUser,ADPass: WideString;
begin
DomainPath := 'LDAP://192.168.100.3/OU=省公司,OU=组织架构,DC=Hebmc,DC=com';//LDAP访问AD的路径。

ADUser:='Hebmc\OAWebUser'; //注意用户名称的写法：域名称 + 用户名称 或 User@domain.com
ADUser:='OAWebUser@Hebmc.com'; //注意用户名称的写法：域名称 + 用户名称 或 User@domain.com
ADPass:='chenzuooaup02'; //用户密码。

GetADInfo(ADUser,ADPass,DomainPath);
end;

procedure TMainFrm.GetADInfo(aUser,aPass,aDomainPath: WideString);
var
UnknownObject: IUnknown;
Enum: IEnumVariant;
ADsTempObj: OLEVariant;
Domain: IADsContainer;
ADsObj: IADs;
Value: LongWord;
begin

// 如果使用AD用户信息登录
if cbUseLogin.Checked then // 使用用户登录的信息创建域对象
OleCheck(AdsOpenObject(PWideChar(aDomainPath),
PWideChar(aUser),
PWideChar(aPass),
0,
IID_IADsContainer,
UnknownObject))
else
OleCheck(ADsGetObject(PWideChar(aDomainPath),
IID_IADsContainer,
UnknownObject));

// 设定域对象
Domain := UnknownObject as IADsContainer;

//获取枚举对象，并赋值给 Enum 变量
Enum := (Domain._NewEnum) as IEnumVariant;

//利用枚举对象查找，把每个子对象赋值给临时的 OLEVariant 对象
while (Enum.Next(1, ADsTempObj, Value) = S_OK) do
begin
ADsObj := IUnknown(ADsTempObj) as IADs; //获得临时对象：OLEVariant 变量赋值给 ADSI 对象

ObjMemo.Lines.Add(AdsObj.Class_); //对象类型

if AdsObj.Class_ = 'organizationalUnit' then //如果是组织单元对象
OUMemo.Lines.Add(ADsObj.Name) ;

if AdsObj.Class_ = 'user' then //如果是用户对象
UserMemo.Lines.Add(ADsObj.Name+'（用户代码='+ADsObj.Get('sAMAccountName')+'）');

//递归。得到组内相关用户。
GetADInfo(aUser,aPass,ADsObj.ADsPath);

ADsTempObj:=Null; //释放OLEVariant
end;

end;

end.

备注：

*. 注意用户名的写法：domain\User 或 User@domain.com

*. Delphi使用LDAP方式访问AD，可以使用ADsObj.Get('属性')时得到相关属性值。
属性的取值域可以通过JAVA程序得到。

7.完。

by JRQ

2007.03.16 夜 于石