问如何用Active Directory替换我的专有用户帐户和权限数据库？

EN

我有一个.Net应用程序，它具有通过专有数据库(即平面文件)管理的身份验证和细粒度功能访问控制。我所说的“细粒度”是指，例如，访问控制权限使一些用户能够单击UI中的特定按钮，而其他用户仅将该按钮视为禁用按钮。

理想情况下，我希望摆脱我的专有数据库和允许用户编辑数据库的实用程序代码。当我们在Windows环境中时，我立即被Active Directory所吸引，因为似乎我的大部分工作生活都是由it和他们的Active Directory设置控制的。

我的第一个问题是我对Active Directory一无所知。我很快就被组策略、应用程序访问控制策略和访问控制列表等新术语淹没了。我很难找到关于我正在尝试做的事情的指南/教程等，我开始认为我犯了一个错误，Active Directory的目的是用于身份验证和Windows访问控制，而不是用于自行开发的.Net应用程序的访问控制。

我现在的想法是尝试使每个细粒度的权限成为Active Directory对象( ADO )，定义将我的应用程序用作Active Directory组( ADG )的角色，并通过访问控制列表将一个ADG或一些ADG与每个ADO相关联。

目前，我认为我唯一可以回答的问题是我应该使用哪种类型的ADO？