|
Active Directory: Berechtigungen; Untergruppen; LDAP?
Hallo,
Ich verwende die Unit adshlp von agnisoft und die importierte Typbibliothek Active DS Type Library. Ich bin mittlerweile soweit, dass ich aus der Domäne die Benutzer auslesen kann und in welchen Gruppen sie sind bzw. umgekehrt. Jetzt möchte ich noch die Rechte der Benutzer/Gruppen auslesen können. In der ActiveDS_TLB stehen die Konstanten für die Rechte. Auf msdn hab ich gefunden, dass die Rechte das bei einem AccessControlEntry als AccessMask angegeben sind. http://msdn.microsoft.com/en-us/library/aa772285(v=VS.85).aspx Aber wie kann ich damit die Rechte abfragen und wie verknüpfe ich das AccessControlEntry mit einem IADS-Objekt? User/Gruppe/Container? Mit den Untergruppen habe ich auch noch ein Problem, eine Gruppe lese ich aus dem IADSContainer-Objekt aus, indem ich mit
Code:
den Container durchsuche.
while EnumVariant.Next(1, V, w) = S_OK do //V:OleVariant, w: Dword
Code:
Mit aIADs.Class_ stelle ich dann fest, ob es sich um eine Gruppe handelt, auf die ich dann mit ADSGetObject aus der adshlp mit aIADs.adspath als Pfad zugreife.
aIADs:= IDispatch(V) as IADs;
Über die Eigenschaft Members kann ich dann die untergeordneten Objekte auslesen, allerdings nicht auf alle mit ADSGetObject darauf zugreifen, weil einige einen anderen Pfad haben, z.Bsp. statt WinNT://domäne ... nicht mehr die Domäne hinter dem WinNT:// sondern WinNT://NT-AUTORITÄT ... . Was hat es mit diesen Untergruppen auf sich? Auf den Container greife ich mit
Code:
zu. Warum klappt das nicht mit LDAP://cn=... ? Wie kann ich auf die Domäne mit LDAP zugreifen? Würde sich durch LDAP eins der beiden anderen Probleme besser beheben lassen?
ADsOpenObject('WinNT://'+Domäne, Username, Password, 1, IADsContainer, domain);
|
Re: Active Directory: Berechtigungen; Untergruppen; LDAP?
Hallo,
Ich komme nicht wirklich weiter. Mit aUser.Get('userflags') kann ich die Konstante der ADS_USER_FLAG aus der ActiveDS_TLB auslesen. Ich krieg es aber nicht hin noch andere Werte auszulesen, wie die ADS_RIGHT_... . Im  MSDN verwendet man IADSSecurityDescriptor und IADSAccessControlEntry. In allen Delphi-Beispielen, die ich gefunden habe, wird aUser.Get('ntSecurityDescriptor') verwendet, dabei tritt aber jedes mal der Fehler "Die Verzeichniseigenschaften wurde nicht im Cache gefunden" auf, egal was ich damit mache.Hat da jemand eine Idee, wie ich sonst den SecurityDescriptor auslesen kann? Wenn ich Eigenschaften wie aUser.Firstname aufrufe tritt auch der Fehler "Die Verzeichniseigenschaften wurde nicht im Cache gefunden" auf. Beim googlen hab ich nur gefunden, dass man es mit on error resume bzw. try except lösen soll. Gibt es da keine andere Möglichen die Eigenschaften auszulesen oder abzufragen, ob sie leer sind? |
Re: Active Directory: Berechtigungen; Untergruppen; LDAP?
Hallo,
ein kleines unfertiges (vom November 2007) Beispiel zum testen:
Delphi-Quellcode:
Musst mal schauen wie weit es durch läuft.
unit frmMain;
interface uses Windows, Messages, SysUtils, Variants, Classes, Graphics, Controls, Forms, Dialogs, StdCtrls, Buttons, XPMan; type TForm1 = class(TForm) Label1: TLabel; edtADsPath: TEdit; sbADsPath: TSpeedButton; btnGet: TButton; procedure btnGetClick(Sender: TObject); procedure sbADsPathClick(Sender: TObject); private { Private-Deklarationen } procedure ClearAllItems; public { Public-Deklarationen } end; var Form1: TForm1; implementation uses ActiveX, dlgADs, adsEnum, adsErr, adsHlp, AdsTLB; {$R *.dfm} procedure TForm1.sbADsPathClick(Sender: TObject); begin ADsTreeDialog := TADsTreeDialog.Create(Self); try ADsTreeDialog.ShowModal; if ADsTreeDialog.ModalResult = mrOK then begin edtADsPath.Text := ADsTreeDialog.ADsPath; ClearAllItems; end; finally ADsTreeDialog.Free; end; end; procedure TForm1.btnGetClick(Sender: TObject); var ADSystemInfo : TADSystemInfo; ADsObject : IADs; iSecurityDescriptor : IADsSecurityDescriptor; iAccessControlList : IADsAccessControlList; iAccessControlEntry : IADsAccessControlEntry; Enum : IEnumVariant; varArr : OleVariant; lNumElements : ULONG; hr : HRESULT; begin if edtADsPath.Text = '' then begin ADSystemInfo := TADSystemInfo.Create(Self); try edtADsPath.Text := 'LDAP://' + ADSystemInfo.UserName; finally ADSystemInfo.FreeOnRelease; end; if SUCCEEDED(ADsGetObject(edtADsPath.Text, IADs, ADsObject)) then begin if SUCCEEDED(IDispatch(ADsObject.Get('nTSecurityDescriptor')).QueryInterface(IADsSecurityDescriptor, iSecurityDescriptor)) then begin if SUCCEEDED(IDispatch(iSecurityDescriptor.DiscretionaryAcl).QueryInterface(IADsAccessControlList, iAccessControlList)) then begin hr := IDispatch(iAccessControlList._NewEnum).QueryInterface(IEnumVariant, Enum); while SUCCEEDED(hr) do begin hr := ADsEnumerateNext(Enum, 1, varArr, lNumElements); if (lNumElements <= 0) then Break; if SUCCEEDED(IDispatch(varArr).QueryInterface(IADsAccessControlEntry, iAccessControlEntry)) then begin end; end; end; end; end; end; end; procedure TForm1.ClearAllItems; begin end; end. Ansonsten nochmal nachfragen (kann aber z.Z. dauern bis eine Antwort kommt). Viele Grüße |
Re: Active Directory: Berechtigungen; Untergruppen; LDAP?
Hallo
Vielen Dank für das Beispiel. Es tritt aber der Fehler "Zuordnungen von Kontennamen und Sicherheitskennungen wurden nicht durchgeführt" auf, bei der Zeile: cxTextEdit1.Text := 'LDAP://' + ADSystemInfo.UserName; Ich habe schon versucht in den Umgebungsoptionen USERDOMAIN und LOGONSERVER den Domänennamen bzw. IP einzutragen, der Fehler bleibt aber gleich. Ich kann aber auch nicht hin den distinguishedName so einzutragen, weil ich nicht raus kriege, was ich da als DC,OU,CN angeben muss. Ich habe von dem exchange-server nur den Namen des Domänencontrollers, die IP-Adresse und meine Zugangsdaten gegeben. Schreibzugriff habe ich keinen. Wenn ich versuche Benutzer und Gruppen mit LDAP auszulesen: var test : IADS; ADsOpenObject('LDAP://+'IP-Adresse', 'MEINUSERNAME', 'MEINPASSWORD', 1, IADs, test); test.Get('distinguishedName') liefert: 'DC=Domänenname,DC=test' test.Get('class_') liefert: 'domaindns' als Container enthält er aber keine Objekte. Mit 'WinNT://' klappt das, kann aber test.Get('distinguishedName') nicht auslesen. Bekommt man das mit dem ADSystemInfo irgendwie hin, oder wie muss ich den LDAP://-Pfad richtig angeben? |
Re: Active Directory: Berechtigungen; Untergruppen; LDAP?
Hallo CTest,
welche Delphi-Version(en) benutzt du? Ich habe gesehen das das Beispiel unvollständig ist und würde dir die fehlenden Units als dcu-Datei zukommen lassen. [Edit 1] Ansonsten versuche es mal so: "LDAP://CN=Administrator, CN=Users, DC=jedi,DC=test,DC=de" Wobei in diesem Fall die Domäne "jedi.test.de" heißt, einfach nur ändern und dann klappt es auch mit den Active Directory Services Interface. [/Edit 1] [Edit 2] Legt auf das Formular bitte noch eine Listbox und nenne sie 'lboADSI'. Änder das Beispiel im Posting #3 wie folgt ab:
Delphi-Quellcode:
In edtADsPath.Text trägst du die Zeichenfolgen aus Edit 1 ein und
procedure TForm1.btnGetClick(Sender: TObject);
var ADSystemInfo : TADSystemInfo; ADsObject : IADs; iSecurityDescriptor : IADsSecurityDescriptor; iAccessControlList : IADsAccessControlList; iAccessControlEntry : IADsAccessControlEntry; Enum : IEnumVariant; varArr : OleVariant; lNumElements : ULONG; hr : HRESULT; begin if edtADsPath.Text = '' then begin ADSystemInfo := TADSystemInfo.Create(Self); try edtADsPath.Text := 'LDAP://' + ADSystemInfo.UserName; finally ADSystemInfo.FreeOnRelease; end; end; if SUCCEEDED(ADsGetObject(edtADsPath.Text, IADs, ADsObject)) then begin if SUCCEEDED(IDispatch(ADsObject.Get('nTSecurityDescriptor')).QueryInterface(IADsSecurityDescriptor, iSecurityDescriptor)) then begin if SUCCEEDED(IDispatch(iSecurityDescriptor.DiscretionaryAcl).QueryInterface(IADsAccessControlList, iAccessControlList)) then begin hr := IDispatch(iAccessControlList._NewEnum).QueryInterface(IEnumVariant, Enum); while SUCCEEDED(hr) do begin hr := ADsEnumerateNext(Enum, 1, varArr, lNumElements); if (lNumElements <= 0) then Break; if SUCCEEDED(IDispatch(varArr).QueryInterface(IADsAccessControlEntry, iAccessControlEntry)) then begin lboADSI.Items.Add(iAccessControlEntry.Trustee); end; end; end; end; end; end; nun solltest du über iAccessControlEntry alle Werte bekommen die du benötigst. [/Edit 2] Viele Grüße |
AW: Active Directory: Berechtigungen; Untergruppen; LDAP?
Hallo,
der letzte Beitrag zum Thema ist ein bisschen alt, aber ich versuche mal mein Glück trotzdem. Und zwar hätte ich das gleiche Problem wie der Threadsteller ( bzw. Teilproblem).Ich habe es eigentliche genau wie er gemacht, habe die Unit adshlp.pas eingebunden und die Typbibliothek Active DS Type Library importiert. Ich schaffe es dann auch die User und deren Gruppen auszulesen. Mein Problem ist jedoch dass durch dieses Verfahren die Übergeordneten Gruppen vernachlässigt werden. Ein Beispiel: ich habe die Gruppen "a1" und "b1" und den Benutzer "u1". Der Bentuzer "u1" ist der Gruppe "b1" zugeordnet, wobei die Gruppe "b1" der Gruppe "a1" zugeordnet ist, was wiederrum bedeutet dass auch der User "u1" der Gruppe "a1" zugeordnet ist. Und da ist dann auch das PRoblem, ich bekomme diese Zuordnung nicht raus ( dass "u1" zu "a1" auch zugeordnet ist). Gibt es eine Möglichkeit wie ich Gruppen durchsuchen kann ob sie anderen Gruppen zugeordnet sind? ( dann könnte ich die Durchsuchung ja rekursiv aufrufen) Oder einen anderen Weg wie ich die Verbindung zwischen "u1" und "a1" auflösen könnte? Ich bedanke mich schon im Vorraus für jede Antwort LG Semir |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 03:26 Uhr. |
Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024-2025 by Thomas Breitkreuz