`
touchmm
  • 浏览: 1043388 次
  • 性别: Icon_minigender_1
  • 来自: 北京
文章分类
社区版块
存档分类
最新评论

活动目录(Active Directory)小结

阅读更多

标题:活动目录(Active Directory)小结

关键词:活动目录 AD ADSI LDAP

作者:JRQ

链接:http://blog.csdn.net/jrq/archive/2007/03/17/1531812.aspx

正文:

1.活动目录(AD)

Active Directory 是用于 Windows Server 的目录服务。
它存储着网络上各种对象的有关信息,并使该信息易于管理员和用户查找及使用。
Active Directory 目录服务使用结构化的数据存储作为目录信息的逻辑层次结构的基础。
通过登录验证以及目录中对象的访问控制,将安全性集成到 Active Directory 中。

目录服务,如 Active Directory,提供了用于存储目录数据并使该数据可由网络用户和管理员使用的方法。
例如,Active Directory 存储了有关用户帐户的信息,如名称、密码、电话号码等,并允许相同网络上的其他已授权用户访问该信息。


2.LDAP

LDAP是轻量目录访问协议,英文全称是Lightweight Directory Access Protocol。
LDAP是基于X.500标准的。
LDAP 仅通过使用原始 X.500目录存取协议 (DAP) 的功能子集而减少了所需的系统资源消耗。
与X.500不同,LDAP支持TCP/IP,这对访问Internet是必须的。
LDAP和关系数据库是两种不同层次的概念,后者是存贮方式(同一层次如网格数据库,对象数据库),前者是存贮模式和访问协议。
LDAP是一个比关系数据库抽象层次更高的存贮概念,与关系数据库的查询语言SQL属同一级别。


3.ADSI

在Delphi中可以使用微软的ADSI(活动目录服务接口)来访问活动目录。
ADSI是一组以COM接口的形式提供目录服务的,是为基于目录服务提供的通用接口。
一些标准的ADSI提供者(Provider)有WinNT、IIS、LDAP和NDS。
可以通过ADSI存取四种网络目录结构:
WinNT (Microsoft SAM 数据库)、LDAP (轻量目录存取协议)、NDS (NetWare目录服务)和NWCOMPAT(Novell NetWare 3.x)。
ADSI可以使Windows NT 管理员的工作变得轻松。
ADSI支持管理员执行一些一般的管理任务,比如添加新用户、管理打印机、安全设定和控制NT域。
因为ADSI使用COM接口,任何支持COM的编程语言像Delphi、BCB、VB、VC等都可以调用ADSI。


如在Delphi中调用ADSI,则需要引入活动目录类型库。
操作如下:
在IDE中,Project--->Import Type Library。
选择“Active Ds Type Library(Version 1.0)”,单击“Create Unit”。
Delphi会做相应的封装,生成ActiveDs_TLB.pas文件。
Uses ActiveDs_TLB,就可以在Delphi程序中使用ADSI了。


4.JAVA+LDAP访问Window 2000 Server AD。

package ADOper;

import java.util.Hashtable;
import javax.naming.Context;
import javax.naming.ldap.LdapContext;
import javax.naming.ldap.InitialLdapContext;
import javax.naming.NamingEnumeration;
import javax.naming.directory.SearchControls;
import javax.naming.directory.SearchResult;
import javax.naming.NamingException;
import javax.naming.directory.Attribute;
import javax.naming.directory.Attributes;
import java.util.Enumeration;

public class ADOperTest {
public ADOperTest() {
}

public void GetADInfo() {
Hashtable HashEnv = new Hashtable();

String LDAP_URL = "ldap://192.168.100.3:389"; //LDAP访问地址
//String adminName = "CN=OAWebUser,CN=Users,DC=Hebmc,DC=com";//AD的用户名
String adminName = "Hebmc\\OAWebUser"; //注意用户名的写法:domain\User 或 User@domain.com
adminName = "OAWebUser@Hebmc.com"; //注意用户名的写法:domain\User 或 User@domain.com
String adminPassword = "chenzuooaup02"; //密码

HashEnv.put(Context.SECURITY_AUTHENTICATION, "simple"); //LDAP访问安全级别
HashEnv.put(Context.SECURITY_PRINCIPAL, adminName); //AD User
HashEnv.put(Context.SECURITY_CREDENTIALS, adminPassword); //AD Password
HashEnv.put(Context.INITIAL_CONTEXT_FACTORY,"com.sun.jndi.ldap.LdapCtxFactory"); //LDAP工厂类
HashEnv.put(Context.PROVIDER_URL, LDAP_URL);

try {
LdapContext ctx = new InitialLdapContext(HashEnv, null);
SearchControls searchCtls = new SearchControls(); //Create the search controls
searchCtls.setSearchScope(SearchControls.SUBTREE_SCOPE); //Specify the search scope

String searchFilter = "objectClass=User"; //specify the LDAP search filter
//String searchFilter = "objectClass=organizationalUnit";//specify the LDAP search filter

String searchBase = "DC=Hebmc,DC=com"; //Specify the Base for the search//搜索域节点
int totalResults = 0;

//Specify the attributes to return
//String returnedAtts[] = {"memberOf"};//定制返回属性
String returnedAtts[] = {
"url", "whenChanged", "employeeID", "name", "userPrincipalName",
"physicalDeliveryOfficeName", "departmentNumber", "telephoneNumber",
"homePhone", "mobile", "department", "sAMAccountName", "whenChanged",
"mail"}; //定制返回属性

searchCtls.setReturningAttributes(returnedAtts); //设置返回属性集

//Search for objects using the filter
NamingEnumeration answer = ctx.search(searchBase, searchFilter,searchCtls);

while (answer.hasMoreElements()) {
SearchResult sr = (SearchResult) answer.next();
System.out.println("************************************************");
System.out.println(sr.getName());

Attributes Attrs = sr.getAttributes();
if (Attrs != null) {
try {
for (NamingEnumeration ne = Attrs.getAll(); ne.hasMore(); ) {
Attribute Attr = (Attribute) ne.next();

System.out.println(" AttributeID=" + Attr.getID().toString());

//读取属性值
for (NamingEnumeration e = Attr.getAll(); e.hasMore();totalResults++) {
System.out.println(" AttributeValues=" + e.next().toString());
}
System.out.println(" ---------------");

//读取属性值
Enumeration values = Attr.getAll();
if (values != null) { // 迭代
while (values.hasMoreElements()) {
System.out.println(" AttributeValues=" + values.nextElement());
}
}
System.out.println(" ---------------");
}
}
catch (NamingException e) {
System.err.println("Throw Exception : " + e);
}
}
}
System.out.println("Number: " + totalResults);
ctx.close();
}

catch (NamingException e) {
e.printStackTrace();
System.err.println("Throw Exception : " + e);
}
}

public static void main(String args[]) {
ADOperTest ad = new ADOperTest();
ad.GetADInfo();
}
}

备注:

使用LADP访问AD,注意用户名的写法:domain\User 或 User@domain.com

如用户名不正确,则可能会出现如下异常:

javax.naming.AuthenticationException: [LDAP: error code 49 - 80090308: LdapErr: DSID-0C090334, comment: AcceptSecurityContext error, data 525, vece


5.Delphi7使用WinNT Provider访问Window 2000 Server AD。

unit Unt_AD;

interface

uses
Windows, Messages, SysUtils, Variants, Classes, Graphics, Controls, Forms,
Dialogs, StdCtrls, ComCtrls, ActiveDs_TLB, ActiveX, ComObj;

type
TMainFrm = class(TForm)
grp1: TGroupBox;
cbUseLogin: TCheckBox;
lbl1: TLabel;
ADSIUsername: TEdit;
lbl2: TLabel;
ADSIPassword: TEdit;
ADSIDomainName: TEdit;
btn1: TButton;
lbl3: TLabel;
GroupListView: TListView;
ComputerListView: TListView;
SeverListView: TListView;
UserListView: TListView;
lbl4: TLabel;
lbl5: TLabel;
Label1: TLabel;
lbl6: TLabel;
procedure btn1Click(Sender: TObject);
private
{ Private declarations }
procedure GetDomainInformation(Domain: IADsContainer);
procedure AddUserToList(ADsObj:IADs);
procedure AddGroupToList(ADsObj:IADs);
procedure AddComputerToList(ADsObj:IADs);
public
{ Public declarations }
end;

//连接 Win NT 目录服务就是找到域控制器然后绑定到相应的对象上。
//绑定可以通过 ADsGetObject 或 ADsOpenObject 函数来实现。
//第一个函数使用登录用户缺省的信任级别,
//第二个函数允许开发者指定特殊的安全信任机制来绑定 ADSI 对象。

//缺省条件下,ADsGetObject函数根据当前用户进行安全认证。
function ADsGetObject(lpszPathName: PWideChar; //第一个参数是对象的路径名
const riid: TIID; //第二个参数是对象的接口标识符
out obj): HResult; stdcall; external 'activeds.dll';// 第三个参数用于返回得到的被请求的接口指针

//ADsOpenObject 函数在不同的安全认证机制下绑定 ADSI 对象,
//它主要是通过调用参数返回的用户名和口令来认证的
function ADsOpenObject(lpszPathName: PWideChar; //第一个参数是对象的路径名
lpszUserName: PWideChar; //第二个参数是调用者提供的用户名
lpszPassword: PWideChar; //第三个参数是调用者提供的口令
dwReserved: LongInt; //第四个参数是一个保留的 provider 标识,用来确定绑定的认证方法
const riid: TIID; //第五个参数是请求接口的接口标识符,
out obj): HResult; stdcall; external 'activeds.dll'; //最后一个参数用来返回请求的接口指针。

var
MainFrm: TMainFrm;

implementation

{$R *.dfm}

// 获取域信息
procedure TMainFrm.GetDomainInformation(Domain: IADsContainer);
var
Enum: IEnumVariant;
ADsTempObj: OLEVariant;
ADsObj: IADs;
Value: LongWord;
begin
//清空用户、组和计算机列表
UserListView.Items.Clear;
GroupListView.Items.Clear;
ComputerListView.Items.Clear;

//获取枚举对象,并赋值给 Enum 变量
Enum := (Domain._NewEnum) as IEnumVariant;

//利用枚举对象查找,把每个子对象赋值给临时的 OLEVariant 对象
while (Enum.Next(1, ADsTempObj, Value) = S_OK) do
begin
ADsObj := IUnknown(ADsTempObj) as IADs; //获得临时对象:OLEVariant 变量赋值给 ADSI 对象

if AdsObj.Class_ = 'User' then //如果是用户对象
AddUserToList(ADsObj);

if AdsObj.Class_ = 'Group' then //如果是组对象
AddGroupToList(ADsObj);

if AdsObj.Class_ = 'Computer' then //如果是计算机对象
AddComputerToList(ADsObj);

ADsTempObj:=Null; //释放OLEVariant
end;
end;

procedure TMainFrm.AddUserToList(ADsObj:IADs);
var aListItem:TListItem;
begin
aListItem:=UserListView.Items.Add;
aListItem.Caption:=ADsObj.Name;
aListItem.SubItems.Add(ADsObj.Class_);
aListItem.SubItems.Add(ADsObj.ADsPath);
aListItem.SubItems.Add(ADsObj.Parent);
// aListItem.SubItems.Add(ADsObj.Get('sAMAccountName'));
end;

procedure TMainFrm.AddGroupToList(ADsObj:IADs);
var aListItem:TListItem;
begin
aListItem:=GroupListView.Items.Add;
aListItem.Caption:=ADsObj.Name;
aListItem.SubItems.Add(ADsObj.Class_);
aListItem.SubItems.Add(ADsObj.ADsPath);
end;

procedure TMainFrm.AddComputerToList(ADsObj:IADs);
var aListItem:TListItem;
begin
aListItem:=ComputerListView.Items.Add;
aListItem.Caption:=ADsObj.Name;
aListItem.SubItems.Add(ADsObj.Class_);
aListItem.SubItems.Add(ADsObj.ADsPath);
end;

procedure TMainFrm.btn1Click(Sender: TObject);
var
UnknownObject: IUnknown;
DomainPath,ADUser,ADPass: WideString;
Domain: IADsContainer;
begin
// 指定域路径
DomainPath := 'WinNT://' + ADSIDomainName.Text;
ADUser:= ADSIUsername.Text;
ADPass:= ADSIPassword.Text;

DomainPath := 'WinNT://Hebmc.com';
ADUser: ADUser:= 'Hebmc\OAWebUser'; //注意用户名称的写法:domain\User 或 User@domain.com
ADUser:= 'OAWebUser@Hebmc.com'; //注意用户名称的写法:domain\User 或 User@domain.com
ADPass:= 'chenzuooaup02';

// 如果使用用户登录了信息
if cbUseLogin.Checked then // 使用用户登录的信息创建域对象
OleCheck(AdsOpenObject(PWideChar(DomainPath),
PWideChar(ADUser),
PWideChar(ADPass),
0,
IID_IADsContainer,
UnknownObject))
else
OleCheck(ADsGetObject(PWideChar(DomainPath),
IID_IADsContainer,
UnknownObject));

// 设定域对象
Domain := UnknownObject as IADsContainer;

// 从域中获得信息列表
GetDomainInformation(Domain);
end;

end.


备注:

*.注意用户名的写法:domain\User 或 User@domain.com

*.Delphi使用WinNT Provider方式访问AD,在使用ADsObj.Get('属性')时,会有一个报错:“高速缓存中找不到目录属性。” (The directory property cannot be found in the cache)。
目前该问题还不知如何解决。

*.资料参考《Delphi深度探索-活动目录开发》。
作者:陈省(Hubdog)。 http://hubdog.csdn.net/


6.Delphi7使用LDAP访问Window 2000 Server AD。

unit Main;

interface

uses
Windows, Messages, SysUtils, Variants, Classes, Graphics, Controls, Forms,
Dialogs, StdCtrls, ActiveDs_TLB, ActiveX, ComObj;

type
TMainFrm = class(TForm)
Button1: TButton;
ObjMemo: TMemo;
OUMemo: TMemo;
UserMemo: TMemo;
cbUseLogin: TCheckBox;
Obj_Label: TLabel;
OU_Label: TLabel;
Users_Label: TLabel;
procedure Button1Click(Sender: TObject);
private
{ Private declarations }
public
{ Public declarations }
procedure GetADInfo(aUser,aPass,aDomainPath: WideString);
end;


//连接 Win NT 目录服务就是找到域控制器然后绑定到相应的对象上。
//绑定可以通过 ADsGetObject 或 ADsOpenObject 函数来实现。
//第一个函数使用登录用户缺省的信任级别,
//第二个函数允许开发者指定特殊的安全信任机制来绑定 ADSI 对象。

//缺省条件下,ADsGetObject函数根据当前用户进行安全认证。
function ADsGetObject(lpszPathName: PWideChar; //第一个参数是对象的路径名
const riid: TIID; //第二个参数是对象的接口标识符
out obj): HResult; stdcall; external 'activeds.dll';// 第三个参数用于返回得到的被请求的接口指针

//ADsOpenObject 函数在不同的安全认证机制下绑定 ADSI 对象,
//它主要是通过调用参数返回的用户名和口令来认证的
function ADsOpenObject(lpszPathName: PWideChar; //第一个参数是对象的路径名
lpszUserName: PWideChar; //第二个参数是调用者提供的用户名
lpszPassword: PWideChar; //第三个参数是调用者提供的口令
dwReserved: LongInt; //第四个参数是一个保留的 provider 标识,用来确定绑定的认证方法
const riid: TIID; //第五个参数是请求接口的接口标识符,
out obj): HResult; stdcall; external 'activeds.dll'; //最后一个参数用来返回请求的接口指针。

var
MainFrm: TMainFrm;

implementation

{$R *.dfm}

procedure TMainFrm.Button1Click(Sender: TObject);
var DomainPath,ADUser,ADPass: WideString;
begin
DomainPath := 'LDAP://192.168.100.3/OU=省公司,OU=组织架构,DC=Hebmc,DC=com';//LDAP访问AD的路径。

ADUser:='Hebmc\OAWebUser'; //注意用户名称的写法:域名称 + 用户名称 或 User@domain.com
ADUser:='OAWebUser@Hebmc.com'; //注意用户名称的写法:域名称 + 用户名称 或 User@domain.com
ADPass:='chenzuooaup02'; //用户密码。

GetADInfo(ADUser,ADPass,DomainPath);
end;

procedure TMainFrm.GetADInfo(aUser,aPass,aDomainPath: WideString);
var
UnknownObject: IUnknown;
Enum: IEnumVariant;
ADsTempObj: OLEVariant;
Domain: IADsContainer;
ADsObj: IADs;
Value: LongWord;
begin

// 如果使用AD用户信息登录
if cbUseLogin.Checked then // 使用用户登录的信息创建域对象
OleCheck(AdsOpenObject(PWideChar(aDomainPath),
PWideChar(aUser),
PWideChar(aPass),
0,
IID_IADsContainer,
UnknownObject))
else
OleCheck(ADsGetObject(PWideChar(aDomainPath),
IID_IADsContainer,
UnknownObject));

// 设定域对象
Domain := UnknownObject as IADsContainer;

//获取枚举对象,并赋值给 Enum 变量
Enum := (Domain._NewEnum) as IEnumVariant;

//利用枚举对象查找,把每个子对象赋值给临时的 OLEVariant 对象
while (Enum.Next(1, ADsTempObj, Value) = S_OK) do
begin
ADsObj := IUnknown(ADsTempObj) as IADs; //获得临时对象:OLEVariant 变量赋值给 ADSI 对象

ObjMemo.Lines.Add(AdsObj.Class_); //对象类型

if AdsObj.Class_ = 'organizationalUnit' then //如果是组织单元对象
OUMemo.Lines.Add(ADsObj.Name) ;

if AdsObj.Class_ = 'user' then //如果是用户对象
UserMemo.Lines.Add(ADsObj.Name+'(用户代码='+ADsObj.Get('sAMAccountName')+')');

//递归。得到组内相关用户。
GetADInfo(aUser,aPass,ADsObj.ADsPath);

ADsTempObj:=Null; //释放OLEVariant
end;

end;

end.

备注:

*. 注意用户名的写法:domain\User 或 User@domain.com

*. Delphi使用LDAP方式访问AD,可以使用ADsObj.Get('属性')时得到相关属性值。
属性的取值域可以通过JAVA程序得到。

7.完。

by JRQ

2007.03.16 夜 于石

分享到:
评论

相关推荐

    Server2022建立域控服务器ActiveDirectory推荐.pdf

    小结 在本文中,我们介绍了如何在 Server 2022 上建立域控服务器 Active Directory。我们讨论了规划域名、规划磁盘空间、安装 DNS 服务器、安装域服务、提升为域控服务器、配置 NetBIOS 域名、验证 DNS 服务器和添加...

    Windows_Server_2008_AD架构-第04部分_活动目录的灾难恢复策略

    在本篇文章中,我们将深入了解Windows Server 2008中的活动目录(Active Directory, AD)架构,特别关注活动目录的灾难恢复策略。这部分内容主要涉及活动目录的维护、备份与恢复等方面的知识点。 #### 二、操作主机...

    所有服务配置总结所有服务配置总结所有服务配置总结所有服务配置总结

    【Active Directory 网络的安装与配置】 Active Directory 是微软Windows Server操作系统中的核心组件,用于管理和组织网络中的用户、计算机和其他资源。本篇将详细阐述如何安装和配置Active Directory。 ### 安装...

    AD域管理网络打印机

    四、 小结 AD 域管理网络打印机的配置和发布是网络打印机管理的关键步骤。通过配置打印服务器、添加打印机和发布打印机,可以实现网络打印机的共享和管理。网络管理员可以根据实际情况选择合适的配置和发布方式,以...

    Exchange Server 2007快速部署指南

    #### 六、小结 通过以上步骤,您可以在单域单林的环境下成功部署 Exchange Server 2007。本文档提供了详细的部署流程和步骤,希望能帮助读者顺利完成 Exchange Server 2007 的部署工作。对于复杂环境的部署需求,请...

    DB2命令小结

    9. **列出所有数据库**:`db2 list db directory`显示系统中的所有数据库目录。 10. **列出所有激活的数据库**:`db2 list active databases`展示当前正在运行的数据库实例。 11. **列出所有数据库配置**:`db2 ...

    Windows Server 2008 AD 课件

    本文档主要介绍了Windows Server 2008环境下活动目录(Active Directory,简称AD)的管理和配置方法,特别是针对AD复制机制的深入讲解。对于正在学习微软认证信息技术专业人员(MCITP)的学员来说,这份资料具有较高...

Global site tag (gtag.js) - Google Analytics