Adicionar membro ao grupo AD de um domínio confiável
Eu tenho dois domínios, em um relacionamento confiável, que estou tentando gerenciar a partir de um aplicativo Web C #. Para fazer isso, eu tenho que representar dois usuários técnicos diferentes, mas isso funciona bem, então não enfatizarei essa parte do código.
Para criar ACLs apropriadas e fáceis de gerenciar para o sistema de arquivos, devo
Crie um grupo no domínioA (OK!)Encontre um usuário no domínioB (OK!)Adicione o usuário ao grupo (FAILS ao confirmar as alterações, mensagem de erro:There is no such object on the server. (Exception from HRESULT: 0x80072030))Se eu estiver adicionando um usuário do mesmo domínio, o código funcionará perfeitamente, então acredito que estou perdendo apenas uma pequena informação parcial aqui. eu useiesse documento como referência e viessa questão também (e mais alguns citando essa mensagem de erro), mas nenhum deles ajudou.
Código (bloco try-catch removido para simplificar)
// de is a DirectoryEntry object of the AD group, received by the method as a parameter
// first impersonation to search in domainB
// works all right
if (impersonator.impersonateUser("techUser1", "domainB", "pass")) {
DirectoryEntry dom = new DirectoryEntry("LDAP://domainB.company.com/OU=MyOU,DC=domainB,DC=company,DC=com", "techUser1", "pass");
de.Invoke("Add", new object[] { "LDAP://domainB.company.com/CN=theUserIWantToAdd,OU=MyOU,DC=domainB,DC=company,DC=com" });
// de.Invoke("Add", new object[] { "LDAP://domainA.company.com/CN=anotherUserFromDomainA,OU=AnotherOU,DC=domainB,DC=company,DC=com" });
impersonator.undoImpersonation();
}
// second impersonation because the group (de) is in domainA
// and techUser2 has account operator privileges there
if (impersonator.impersonateUser("techUser2", "domainA", "pass"))
{
de.CommitChanges();
impersonator.undoImpersonation();
return true;
}
else
{
// second impersonation was unsuccessful, so return an empty object
return false;
}
A linha 6 funciona, se eu depurar ou forçar as propriedades a serem gravadas no HttpResponse, ela estará claramente lá. Portanto, as consultas LDAP parecem estar OK.
Além disso, se eu comentar a linha 6 e o comentário 7, basicamente adiciono um usuário do mesmo domínio, otudo funciona milagrosamente. Com domainB, eu estou preso. Algum bom conselho?