Hallo,

Ich verwende die Unit adshlp von agnisoft und die importierte Typbibliothek Active DS Type Library.
Ich bin mittlerweile soweit, dass ich aus der Domäne die Benutzer auslesen kann und in welchen Gruppen sie sind bzw. umgekehrt.

Jetzt möchte ich noch die Rechte der Benutzer/Gruppen auslesen können.

In der ActiveDS_TLB stehen die Konstanten für die Rechte.
Auf msdn hab ich gefunden, dass die Rechte das bei einem AccessControlEntry als AccessMask angegeben sind.
http://msdn.microsoft.com/en-us/library/aa772285(v=VS.85).aspx
Aber wie kann ich damit die Rechte abfragen und wie verknüpfe ich das AccessControlEntry mit einem IADS-Objekt? User/Gruppe/Container?

Mit den Untergruppen habe ich auch noch ein Problem, eine Gruppe lese ich aus dem IADSContainer-Objekt aus, indem ich mit

markieren

Code:

while EnumVariant.Next(1, V, w) = S_OK do //V:OleVariant, w: Dword

den Container durchsuche.

markieren

Code:

aIADs:= IDispatch(V) as IADs;

Mit aIADs.Class_ stelle ich dann fest, ob es sich um eine Gruppe handelt, auf die ich dann mit ADSGetObject aus der adshlp mit aIADs.adspath als Pfad zugreife.
Über die Eigenschaft Members kann ich dann die untergeordneten Objekte auslesen, allerdings nicht auf alle mit ADSGetObject darauf zugreifen, weil einige einen anderen Pfad haben, z.Bsp. statt WinNT://domäne ... nicht mehr die Domäne hinter dem WinNT:// sondern WinNT://NT-AUTORITÄT ... .
Was hat es mit diesen Untergruppen auf sich?


Auf den Container greife ich mit

markieren

Code:

ADsOpenObject('WinNT://'+Domäne, Username, Password, 1, IADsContainer, domain);

zu. Warum klappt das nicht mit LDAP://cn=... ? Wie kann ich auf die Domäne mit LDAP zugreifen? Würde sich durch LDAP eins der beiden anderen Probleme besser beheben lassen?

Hallo,

Ich komme nicht wirklich weiter.
Mit aUser.Get('userflags') kann ich die Konstante der ADS_USER_FLAG aus der ActiveDS_TLB auslesen. Ich krieg es aber nicht hin noch andere Werte auszulesen, wie die ADS_RIGHT_... . Im MSDN verwendet man IADSSecurityDescriptor und IADSAccessControlEntry. In allen Delphi-Beispielen, die ich gefunden habe, wird aUser.Get('ntSecurityDescriptor') verwendet, dabei tritt aber jedes mal der Fehler "Die Verzeichniseigenschaften wurde nicht im Cache gefunden" auf, egal was ich damit mache.
Hat da jemand eine Idee, wie ich sonst den SecurityDescriptor auslesen kann?

Wenn ich Eigenschaften wie aUser.Firstname aufrufe tritt auch der Fehler "Die Verzeichniseigenschaften wurde nicht im Cache gefunden" auf. Beim googlen hab ich nur gefunden, dass man es mit on error resume bzw. try except lösen soll. Gibt es da keine andere Möglichen die Eigenschaften auszulesen oder abzufragen, ob sie leer sind?

Hallo,

ein kleines unfertiges (vom November 2007) Beispiel zum testen:

zusammenfalten · markieren

Delphi-Quellcode:

unit frmMain;

interface

uses
  Windows, Messages, SysUtils, Variants, Classes, Graphics, Controls, Forms,
  Dialogs, StdCtrls, Buttons, XPMan;

type
  TForm1 = class(TForm)
    Label1: TLabel;
    edtADsPath: TEdit;
    sbADsPath: TSpeedButton;
    btnGet: TButton;
    procedure btnGetClick(Sender: TObject);
    procedure sbADsPathClick(Sender: TObject);
  private
    { Private-Deklarationen }
    procedure ClearAllItems;
  public
    { Public-Deklarationen }
  end;

var
  Form1: TForm1;

implementation

uses ActiveX, dlgADs, adsEnum, adsErr, adsHlp, AdsTLB;

{$R *.dfm}

procedure TForm1.sbADsPathClick(Sender: TObject);
begin
  ADsTreeDialog := TADsTreeDialog.Create(Self);
  try
    ADsTreeDialog.ShowModal;
    if ADsTreeDialog.ModalResult = mrOK then
    begin
      edtADsPath.Text := ADsTreeDialog.ADsPath;
      ClearAllItems;
    end;
  finally
    ADsTreeDialog.Free;
  end;
end;

procedure TForm1.btnGetClick(Sender: TObject);
var
  ADSystemInfo : TADSystemInfo;
  ADsObject : IADs;
  iSecurityDescriptor : IADsSecurityDescriptor;
  iAccessControlList : IADsAccessControlList;
  iAccessControlEntry : IADsAccessControlEntry;
  Enum : IEnumVariant;
  varArr : OleVariant;
  lNumElements : ULONG;
  hr : HRESULT;
begin
  if edtADsPath.Text = '' then
  begin
    ADSystemInfo := TADSystemInfo.Create(Self);
    try
      edtADsPath.Text := 'LDAP://' + ADSystemInfo.UserName;
    finally
      ADSystemInfo.FreeOnRelease;
    end;
    if SUCCEEDED(ADsGetObject(edtADsPath.Text, IADs, ADsObject)) then
    begin
      if SUCCEEDED(IDispatch(ADsObject.Get('nTSecurityDescriptor')).QueryInterface(IADsSecurityDescriptor, iSecurityDescriptor)) then
      begin
        if SUCCEEDED(IDispatch(iSecurityDescriptor.DiscretionaryAcl).QueryInterface(IADsAccessControlList, iAccessControlList)) then
        begin
          hr := IDispatch(iAccessControlList._NewEnum).QueryInterface(IEnumVariant, Enum);
          while SUCCEEDED(hr) do
          begin
            hr := ADsEnumerateNext(Enum, 1, varArr, lNumElements);
            if (lNumElements <= 0) then Break;
            if SUCCEEDED(IDispatch(varArr).QueryInterface(IADsAccessControlEntry, iAccessControlEntry)) then
            begin
            end;
          end;
        end;
      end;
    end;
  end;
end;

procedure TForm1.ClearAllItems;
begin
end;


end.

Musst mal schauen wie weit es durch läuft.

Ansonsten nochmal nachfragen (kann aber z.Z. dauern bis eine Antwort kommt).

Viele Grüße

Hallo
Vielen Dank für das Beispiel.

Es tritt aber der Fehler "Zuordnungen von Kontennamen und Sicherheitskennungen wurden nicht durchgeführt" auf, bei der Zeile:
cxTextEdit1.Text := 'LDAP://' + ADSystemInfo.UserName;
Ich habe schon versucht in den Umgebungsoptionen USERDOMAIN und LOGONSERVER den Domänennamen bzw. IP einzutragen, der Fehler bleibt aber gleich.
Ich kann aber auch nicht hin den distinguishedName so einzutragen, weil ich nicht raus kriege, was ich da als DC,OU,CN angeben muss. Ich habe von dem exchange-server nur den Namen des Domänencontrollers, die IP-Adresse und meine Zugangsdaten gegeben. Schreibzugriff habe ich keinen.

Wenn ich versuche Benutzer und Gruppen mit LDAP auszulesen:
var test : IADS;
ADsOpenObject('LDAP://+'IP-Adresse', 'MEINUSERNAME', 'MEINPASSWORD', 1, IADs, test);
test.Get('distinguishedName') liefert: 'DC=Domänenname,DC=test'
test.Get('class_') liefert: 'domaindns'
als Container enthält er aber keine Objekte.
Mit 'WinNT://' klappt das, kann aber test.Get('distinguishedName') nicht auslesen.

Bekommt man das mit dem ADSystemInfo irgendwie hin, oder wie muss ich den LDAP://-Pfad richtig angeben?

Hallo CTest,

welche Delphi-Version(en) benutzt du?
Ich habe gesehen das das Beispiel unvollständig ist und würde dir die fehlenden
Units als dcu-Datei zukommen lassen.

[Edit 1]
Ansonsten versuche es mal so:
"LDAP://CN=Administrator, CN=Users, DC=jedi,DC=test,DC=de"

Wobei in diesem Fall die Domäne "jedi.test.de" heißt, einfach nur ändern und dann klappt es auch
mit den Active Directory Services Interface.

[/Edit 1]

[Edit 2]
Legt auf das Formular bitte noch eine Listbox und nenne sie 'lboADSI'.

Änder das Beispiel im Posting #3 wie folgt ab:

zusammenfalten · markieren

Delphi-Quellcode:

procedure TForm1.btnGetClick(Sender: TObject);
var
  ADSystemInfo : TADSystemInfo;
  ADsObject : IADs;
  iSecurityDescriptor : IADsSecurityDescriptor;
  iAccessControlList : IADsAccessControlList;
  iAccessControlEntry : IADsAccessControlEntry;
  Enum : IEnumVariant;
  varArr : OleVariant;
  lNumElements : ULONG;
  hr : HRESULT;
begin
  if edtADsPath.Text = '' then
  begin
    ADSystemInfo := TADSystemInfo.Create(Self);
    try
      edtADsPath.Text := 'LDAP://' + ADSystemInfo.UserName;
    finally
      ADSystemInfo.FreeOnRelease;
    end;
  end;

  if SUCCEEDED(ADsGetObject(edtADsPath.Text, IADs, ADsObject)) then
  begin
    if SUCCEEDED(IDispatch(ADsObject.Get('nTSecurityDescriptor')).QueryInterface(IADsSecurityDescriptor, iSecurityDescriptor)) then
    begin
      if SUCCEEDED(IDispatch(iSecurityDescriptor.DiscretionaryAcl).QueryInterface(IADsAccessControlList, iAccessControlList)) then
      begin
        hr := IDispatch(iAccessControlList._NewEnum).QueryInterface(IEnumVariant, Enum);
        while SUCCEEDED(hr) do
        begin
          hr := ADsEnumerateNext(Enum, 1, varArr, lNumElements);
          if (lNumElements <= 0) then Break;
          if SUCCEEDED(IDispatch(varArr).QueryInterface(IADsAccessControlEntry, iAccessControlEntry)) then
          begin
            lboADSI.Items.Add(iAccessControlEntry.Trustee);
          end;
        end;
      end;
    end;
  end;
end;

In edtADsPath.Text trägst du die Zeichenfolgen aus Edit 1 ein und
nun solltest du über iAccessControlEntry alle Werte bekommen die du benötigst.
[/Edit 2]

Viele Grüße

Hallo,

der letzte Beitrag zum Thema ist ein bisschen alt, aber ich versuche mal mein Glück trotzdem.
Und zwar hätte ich das gleiche Problem wie der Threadsteller ( bzw. Teilproblem).Ich habe es eigentliche genau wie er gemacht, habe die Unit adshlp.pas eingebunden und die
Typbibliothek Active DS Type Library importiert. Ich schaffe es dann auch die User und deren Gruppen auszulesen. Mein Problem ist jedoch dass durch dieses Verfahren die Übergeordneten Gruppen vernachlässigt werden. Ein Beispiel: ich habe die Gruppen "a1" und "b1" und den Benutzer "u1". Der Bentuzer "u1" ist der Gruppe "b1" zugeordnet, wobei die Gruppe "b1" der Gruppe "a1" zugeordnet ist, was wiederrum bedeutet dass auch der User "u1" der Gruppe "a1" zugeordnet ist. Und da ist dann auch das PRoblem, ich bekomme diese Zuordnung nicht raus ( dass "u1" zu "a1" auch zugeordnet ist). Gibt es eine Möglichkeit wie ich Gruppen durchsuchen kann ob sie anderen Gruppen zugeordnet sind? ( dann könnte ich die Durchsuchung ja rekursiv aufrufen) Oder einen anderen Weg wie ich die Verbindung zwischen "u1" und "a1" auflösen könnte?

Ich bedanke mich schon im Vorraus für jede Antwort

LG Semir