我们的市场部回来了Active Directory集成是一个重要客户的要求，但我们公司似乎并没有得到政府的重视跨度（1）决定我们要为实现这一目标，有什么功能上的改变（2 ）采访了广泛的客户，找出最要求的功能性变化，以及（3）还有这是烫手的山芋问题下周。为了帮助我超越的广泛议题Active Directory集成，这是什么意思在你的.NET应用程序，包括ASP.NET和WinForms？

Our marketing department comes back with "active directory integration" being a key customer request, but our company does not seem to have the attention span to (1) decide on what functional changes we want to make toward this end, (2) interview a broad range of customer to identify the most requested functional changes, and (3) still have this be the "hot potato" issue next week. To help me get beyond the broad topic of "active directory integration," what does it mean in your .NET app, both ASP.NET and WinForms?

下面是一些示例的变化我要考虑：

Here are some sample changes I have to consider:

当创建，并在您的应用程序管理用户，都psented与所有AD用户的列表，或只是一组AD用户的管理员$ P $？ 当你的应用程序中创建新的安全组（我们称之为部门，如人力资源），这应该建立新的广告组？ 请管理员在您的应用程序或通过AD以外将用户分配到安全组？有没有关系呢？ 是用户签署了您的应用程序凭借签字到Windows吗？如果没有，你跟踪用户用自己的用户表和一些外键进入AD？你用什么外键，应用程序的用户链接到AD用户？你必须证明你的登录过程中保护用户的密码？ 你用什么外键，应用程序安全组链接到AD安全组？ 如果你有一个WinForms组件，您的应用程序（我们有ASP.NET和WinForms），你用你的WinForms应用程序的成员资格提供？目前，我们的成员和角色管理predates框架的版本，所以我们不使用成员资格提供程序。

我缺少的功能性改变任何其他领域？

Am I missing any other areas of functional changes?

的后续问题

请支持Active Directory集成应用程序都针对一个以上的域来验证用户身份的能力？没有一个用户会验证到多个域，但不同的用户在同一系统会验证对不同的域。

Do apps that support "active directory integration" have the ability to authenticate users against more than one domain? Not that one user would authenticate to more than one domain but that different users of the same system would authenticate against different domains.

推荐答案

从管理员的角度来看，我希望有一个广告整合做以下的事情

from a administrators perspective i want a ad-integration to do the following things

永远不会写回AD，我只是不中这点信任的第三方软件 能够从AD导入用户

能够设置安全组用于软件分发和权利，例如ApplicationXYZ用户（共享文件夹，...）如果需要的话，但这应该服从号1，所以管理员创建安全集团并告诉它是哪一个应用程序服务器。 never ever write back to the AD, i just don't trust 3rd party software in this point being able to import users from AD

being able to set a security group eg "ApplicationXYZ Users" to be used for software distribution and rights (shared folders, ...) if necessary but this should obey number 1., so the admin creates the security group and tells the appserver which one it is.

单点登录（可以更容易为用户的原因，他们只需要知道自己的Windows登录，并强制域范围的密码策略）

single sign-on (makes it easier for the users cause they only need to know their windows login, and enforces the domain wide password policy)

停用的AD用户或AD用户的不再是ApplicationXYZ用户不应该能够登录

a deactivated AD-User, or a AD-User that is no longer in "ApplicationXYZ Users" should not be able to login

链接AD-集团向应用程序组，但是这将是可选的，我实在是生活中没有了

link AD-Group to Application Group but that would be optional, i really can life without that

心连心