Abfrage von Member einer Gruppe über Directory Searcher

Question

Hallo,

ich verzweifle gerade etwas und wollte mir nun doch mal helfen lassen. Ich habe einen WCF Service über ein IIS deployed. Im Service werden in der AD Gruppenzugehörigkeiten überprüft. Soweit funktioniert alles super. Sobald ich nun aber eine Gruppe mit ForeignSecurityPrincipals anzeigen lasse, werden diese Objekte nicht aufgeführt, sondern nur die User der eigenen Domäne.

Komisch ist, dass sobald ich den gleichen Code per Command Line Tool ausführe, alle User aufgeführt werden. Woran kann das liegen? Die Logik funktioniert, solange ich die CMD ausführe...

Solltet ihr noch weitere Angaben brauchen, immer her mit den Anfragen, ich bin über jeden Hinweis glücklich!

MFG Alexander

Answer 1

Hallo Alexander Serowy,

Schau Dir mal folgenden Link an. Vielleicht kann er Dir weiterhelfen.

Active Directory retrieve account name from ForeignSecurityPrincipal

Grüße,

Robert

---

Robert Breitenhofer, MICROSOFT 
Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „Entwickler helfen Entwickler“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.

Answer 2

Hallo Robert,

erstmal danke für den Link. Leider behandelt dieser nicht wirklich mein Problem, da ich die Sids der Member einer Gruppe auslesen möchte.

Wie oben angesprochen, habe ich die gleiche Logik sowohl als CMD unter meinem User, als auch als Dienst im IIS als Network Service ausgeführt. Bei der CMD gibt er mir die Sids der FSP aus, beim Dienst nicht. Die Logik dahinter ist 1 zu 1 kopiert. Beide Nutzer haben die gleichen Berechtigungen im Netzwerk... und weiter verzweifle ich an diesem Problem.

MFG Alexander

Answer 3

Hallo,

könnte es sein, dass Du mit Impersonation die Rechte des Windows Users an den Service weitergeben musst um Zugriff auf diese Gruppen zu bekommen?

Dein CommandlineTool wird ja auch im Kontext des Windows Users ausgeführt. Der WCF Service allerdings nicht.

http://msdn.microsoft.com/en-us/library/ff650591.aspx

Gruß Timo

Answer 4

Hallo Timo,

kurz eine Frage, ich habe nun über <identity ...> mich als User in die Web.config geschrieben, um alle Operationen mit meinem User auszuführen. Leider hat auch das nichts gebracht, genauso wenig, wie den Anwendungspool mit meinem User ausführen zu lassen.

Reicht die identity-Eigenschaft, um die Impersonation zu testen, oder habe ich etwas wichtiges vergessen?

MFG Alexander