开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

C#使用目录服务将用户添加到Active Directory，已启用属性不起作用

。

在C#中，可以使用System.DirectoryServices命名空间提供的类来操作Active Directory。要将用户添加到Active Directory并启用属性，可以按照以下步骤进行操作：

引用命名空间和添加必要的引用：

using System.DirectoryServices;
using System.DirectoryServices.AccountManagement;

创建一个DirectoryEntry对象，指定Active Directory的路径和管理员凭据：

string adPath = "LDAP://yourdomain.com"; // Active Directory路径
string username = "admin"; // 管理员用户名
string password = "password"; // 管理员密码

DirectoryEntry directoryEntry = new DirectoryEntry(adPath, username, password);

创建一个DirectorySearcher对象，用于搜索Active Directory中的用户：

DirectorySearcher directorySearcher = new DirectorySearcher(directoryEntry);
directorySearcher.Filter = "(objectClass=user)"; // 过滤条件，只搜索用户对象

执行搜索并获取搜索结果：

SearchResultCollection searchResults = directorySearcher.FindAll();

遍历搜索结果并找到要添加用户的目录项：

foreach (SearchResult searchResult in searchResults)
{
    DirectoryEntry userEntry = searchResult.GetDirectoryEntry();
    // 根据需要判断用户是否已启用，如果已启用则跳过
    if ((int)userEntry.Properties["userAccountControl"].Value & 0x2 == 0x2)
    {
        continue;
    }
    
    // 设置用户属性
    userEntry.Properties["userAccountControl"].Value = (int)userEntry.Properties["userAccountControl"].Value & ~0x2; // 启用用户
    
    // 保存更改
    userEntry.CommitChanges();
}

以上代码示例了如何使用C#将用户添加到Active Directory并启用属性。在代码中，我们首先创建了一个DirectoryEntry对象，指定了Active Directory的路径和管理员凭据。然后，我们创建了一个DirectorySearcher对象，设置了过滤条件，并执行搜索操作。接下来，我们遍历搜索结果，找到要添加用户的目录项，并设置用户的属性。最后，我们保存更改，使用户属性生效。

需要注意的是，上述代码只是一个示例，实际使用时需要根据具体情况进行适当的修改和错误处理。

推荐的腾讯云相关产品：腾讯云的云服务器（CVM）和腾讯云的云数据库（TencentDB）可以用于支持C#开发和部署应用程序。您可以访问腾讯云官方网站获取更多关于这些产品的详细信息和使用指南。

腾讯云云服务器（CVM）产品介绍：https://cloud.tencent.com/product/cvm 腾讯云云数据库（TencentDB）产品介绍：https://cloud.tencent.com/product/cdb

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

Windows日志取证

尝试更改帐户的密码 4724 尝试重置帐户密码 4725 用户帐户已被禁用 4726 用户帐户已删除 4727 已创建启用安全性的全局组 4728 已将成员添加到启用安全性的全局组中 4729...4762 成员已从禁用安全性的通用组中删除 4763 已删除安全性已禁用的通用组 4764 组类型已更改 4765 SID历史记录已添加到帐户中 4766 尝试将SID历史记录添加到帐户失败...4891 证书服务中的配置条目已更改 4892 证书服务的属性已更改 4893 证书服务存档密钥 4894 证书服务导入并存档了一个密钥 4895 证书服务将CA证书发布到Active Directory...Directory副本源命名上下文 4929 已删除Active Directory副本源命名上下文 4930 已修改Active Directory副本源命名上下文 4931 已修改Active...Directory，并将使用Active DirectoryIPsec策略的缓存副本 5467 PAStore引擎轮询ActiveDirectory IPsec策略的更改，确定可以访问Active

2.6K1 1

Windows日志取证

尝试更改帐户的密码 4724 尝试重置帐户密码 4725 用户帐户已被禁用 4726 用户帐户已删除 4727 已创建启用安全性的全局组 4728 已将成员添加到启用安全性的全局组中 4729...4762 成员已从禁用安全性的通用组中删除 4763 已删除安全性已禁用的通用组 4764 组类型已更改 4765 SID历史记录已添加到帐户中 4766 尝试将SID历史记录添加到帐户失败...4891 证书服务中的配置条目已更改 4892 证书服务的属性已更改 4893 证书服务存档密钥 4894 证书服务导入并存档了一个密钥 4895 证书服务将CA证书发布到Active Directory...Directory副本源命名上下文 4929 已删除Active Directory副本源命名上下文 4930 已修改Active Directory副本源命名上下文 4931 已修改Active...Directory，并将使用Active DirectoryIPsec策略的缓存副本 5467 PAStore引擎轮询ActiveDirectory IPsec策略的更改，确定可以访问Active

3.5K4 0

Kerberos 黄金门票

TGT 仅用于向域控制器上的 KDC 服务证明用户已通过另一个域控制器的身份验证。...在迁移方案中，从 DomainA 迁移到 DomainB 的用户将原始 DomainA 用户 SID 添加到新的 DomainB SIDHistory 属性。...当用户使用新帐户登录到 DomainB 时，DomainA SID 与确定访问权限的 DomainB 用户组一起被评估。这意味着可以将 SID 添加到 SID 历史记录以扩展访问权限。...使用最新版本的 Mimikatz，我们现在可以将 SID 历史记录添加到 Forest Enterprise Admins 组的 Golden Ticket。...更新：已经注意到，在 Active Directory 林中的信任之间启用 SID 过滤可以缓解这种情况，因为 SID 历史记录不起作用。

1.3K2 0

Windows事件ID大全

240 已取消会话。 254 指定的扩展属性名无效。 255 扩展属性不一致。 258 等待的操作过时。 259 没有可用的数据了。 266 无法使用复制功能。 267 目录名无效。...--- SID历史记录已添加到帐户中 4766 ----- 尝试将SID历史记录添加到帐户失败 4767 ----- 用户帐户已解锁 4768 -----...--- 证书服务导入并存档了一个密钥 4895 ----- 证书服务将CA证书发布到Active Directory域服务 4896 ----- 已从证书数据库中删除一行或多行...-- Active Directory命名上下文的副本的同步已结束 4934 ----- 已复制Active Directory对象的属性 4935 -----...IPsec策略的更改，确定无法访问Active Directory，并将使用Active Directory IPsec策略的缓存副本 5467 ----- PAStore引擎轮询Active

17.7K6 2

【内网渗透】域渗透实战之 cascade

AD 回收站恢复 Active Directory 对象如果启用了AD回收站，当对象被删除时，其大部分属性会保留一段时间，以便在需要时恢复对象。...启用 AD 回收站后，已删除的对象将保留更多的属性，并且比逻辑删除的持续时间更长。因此，Active Directory 可能会比以前使用更多的空间。启用回收站会删除所有逻辑删除。...在编辑条目部分中，在属性字段中输入值“isDeleted” ，选择操作下的删除单选按钮，然后单击Enter按钮将条目添加到条目列表中。...在“编辑条目”部分中，在“属性”字段中输入值“distinguishedName” ，在“值”字段中输入删除之前对象的可分辨名称，选择“操作”下的“替换”单选按钮，然后单击“ Enter”按钮将条目添加到参赛名单...属性定义了从 Active Directory 中永久删除已删除对象之前的天数。

3102 0

【内网渗透】域渗透实战之 cascade

技术使用 AD 回收站恢复 Active Directory 对象如果启用了AD回收站，当对象被删除时，其大部分属性会保留一段时间，以便在需要时恢复对象。...Active Directory 将会变得更大一些。启用 AD 回收站后，已删除的对象将保留更多的属性，并且比逻辑删除的持续时间更长。...因此，Active Directory 可能会比以前使用更多的空间。启用回收站会删除所有逻辑删除。启用回收站最有影响的后果是森林中的所有墓碑对象将立即不复存在。...在编辑条目部分中，在属性字段中输入值“isDeleted” ，选择操作下的删除单选按钮，然后单击Enter按钮将条目添加到条目列表中。...属性定义了从 Active Directory 中永久删除已删除对象之前的天数。

2464 0

在满补丁的Win10域主机上绕过图形接口依赖实现本地提权

在最近一次的活动目录（Active Directory）评估期间，我们以低权限用户的身份访问了一个完全修补且安全的域工作站。...然后，此身份验证将被中继到Active Directory LDAP服务，以便为该特定计算机设置基于资源的约束委派[2]，这引起了我们的注意。...默认的Active Directory ms-DS-MachineAccountQuota属性，允许所有域用户向域中添加最多10个计算机帐户[4]。...启用此功能后，Change-Lockscreen将禁用它，并建立参数中指定的图像（尝试使用opsec）。...我们可以滥用默认的Active Directory ms-DS-MachineAccountQuota属性，将计算机帐户添加到域中并使用它（Powermad [11]）。

1.4K1 0

通过ACLs实现权限提升

文章前言在内网渗透测试中我们经常会在几个小时内获得域管理权限，而造成这种情况的原因是系统加固不足和使用不安全的Active Directory默认值，在这种情况下公开的利用工具有助于发现和利用这些问题...，则每个组成员也被添加到枚举队列中，正如您可以想象的那样，这需要一些时间来枚举，但最终可能会产生一个链来获取domain对象上的writeDACL权限计算完链后，脚本将开始利用链中的每一步：用户被添加到必要的组中...(几乎可以控制域中的所有组) 如果使用-upgrade-user标志指定了现有用户，则在可以执行ACL攻击的情况下，该用户将被授予复制权限，如果使用组攻击则该用户将被添加到高权限组，如果没有指定现有用户...psexec.py调用的PowerShell函数Invoke-Webrequest，它将从系统角度运行，标志-UseDefaultCredentials将启用NTLM的自动身份验证应该注意的是，在Active...)，因为LDAPS被视为已签名的通道，唯一的缓解方法是在注册表中为LDAP启用通道绑定，如果要获得ntlmrelayx中的新特性，只需从GitHub更新到impacket的最新版本 https://github.com

2.3K3 0

从 Azure AD 到 Active Directory（通过 Azure）——意外的攻击路径

我们可以查看控制 Office 365 许多方面的 Azure Active Directory 的几个不同配置设置。此页面显示目录属性，现在包括新的管理安全默认值。...攻击者将“Azure 资源的访问管理”选项切换为“是”，这会将 Azure AD 帐户添加到适用于所有订阅的根级别的 Azure RBAC 角色“用户访问管理员”。 4....回到本地，然后我运行 Active Directory 模块 PowerShell 命令以获取域管理员组的成员身份，我们可以看到该帐户已添加。...假设 PowerShell 日志记录已启用（并发送到 SIEM），则可以看到此命令执行。根据我的经验，这并不常见。...攻击者可以破坏 Office 365 全局管理员，切换此选项以成为 Azure IAM“用户访问管理员”，然后将任何帐户添加到订阅中的另一个 Azure IAM 角色，然后将选项切换回“否”和攻击者来自用户访问管理员

2.5K1 0

配置客户端以安全连接到Kafka集群–LDAP

身份目录服务（例如Active Directory，RedHat IPA和FreeIPA）支持Kerberos和LDAP身份验证，并且为Kafka集群启用了这两种功能，从而为客户端提供了处理身份验证的不同选择...为确保Kafka代理可以信任LDAP服务器证书，请将LDAP服务器的CA证书添加到Kafka服务使用的信任库中。...您可以在Cloudera Manager的以下属性中找到信任库的位置：运行以下命令（以root用户身份）以将LDAP CA证书添加到信任库中： keytool \ -importcert \ -...幸运的是，对于Active Directory ，除专有名称外， @ 也是有效的LDAP用户名。...如果使用的是Active Directory，则可以将LDAP用户DN模板设置为以下模板（使用上面的mycompany.com示例）： {0}@mycompany.com 如果您的LDAP目录不接受可以如上所述构造的用户名

4.7K2 0

关于AD域的介绍

关于AD域第一次写博客，记录一下如何搭建自己的域服务器，以及其中遇到的一些问题，感谢“我的bug我做主”的文章《C#实现AD域验证登录（一）》，为防止原文被作者删除，手动将原文复制下来，如有侵权，请及时告知...下面列出了域的几个主要概念： AD的全称是Active Directory：活动目录域（Domain）: 1)域是Windows网络中独立运行的单位，域之间相互访问则需要建立信任关系(即Trust...第一步：添加角色功能=>安装’Active Directory域服务’，接着一路下一步，安装完即可。...Desktop”，双击“启用Active Desktop”→“已启用”→“应用”→“确定”。...双击“桌面壁纸”→点击“已启用”→在“墙纸名称”输入墙纸的位置，我使用的是UNC路径（需要在服务器上建立共享文件夹，用于存放桌面图片）→选择“墙纸样式”，我这里选择填充→最后点击“应用”→“确定”，到这里就设置好了

2.2K2 0

Cloudera安全认证概述

这意味着运行Microsoft Server的站点可以将其集群与Active Directory for Kerberos集成在一起，并将凭据存储在同一服务器的LDAP目录中。...为此，Cloudera Manager使用在设置过程中创建的管理员主体和密钥表。Kerberos向导已自动执行此步骤。有关详细信息，请参见使用向导启用Kerberos认证。...与Active Directory的身份集成在平台中启用Kerberos安全性的核心要求是用户在所有集群处理节点上均具有帐户。...对于未使用Active Directory的站点或希望使用开放源代码解决方案的站点，站点安全服务守护程序（SSSD）可以与AD或OpenLDAP兼容目录服务以及MIT Kerberos一起使用，以满足相同的需求...授权用户–由需要访问集群的所有用户组成的组 HDFS管理员–将运行HDFS管理命令的用户组 HDFS超级用户–需要超级用户特权（即对HDFS中所有数据和目录的读/写访问权限）的用户组不建议将普通用户放入

2.9K1 0

Active Directory 域安全技术实施指南 (STIG)

作为系统管理员的人员必须仅使用具有必要权限级别的帐户登录到 Active Directory 系统.........作为系统管理员的人员必须仅使用具有权限级别的帐户登录到 Active Directory 系统......V-8553 中等的必须启用复制并将其配置为至少每天发生一次。及时复制可确保目录服务数据在支持相同客户端数据范围的所有服务器之间保持一致。在使用 AD 站点的 AD 实施中，域......AD的正常运行需要使用IP网口和协议来支持查询、复制、用户认证、资源授权等服务。至少，LDAP 或 LDAPS......V-8530 低的必须记录每个跨目录身份验证配置。 AD 外部、林和领域信任配置旨在将资源访问扩展到更广泛的用户（其他目录中的用户）。如果授权的特定基线文件...

1.1K1 0

使用 AD 诱饵检测 LDAP 枚举和Bloodhound 的 Sharphound 收集器

在活动目录中，可以创建用户帐户、组帐户、服务帐户、计算机帐户等形式的诱饵帐户。可以添加相关详细信息，使系统、服务、组等看起来更逼真。...Active Directory 域中的任何用户都可以查询其组织在域控制器上运行的 Active Directory。...：创建一些 Active Directory 诱饵帐户对这些帐户启用审计运行 Bloodhound 的 Sharphound 工具在活动目录环境中执行 LDAP 侦察活动检测 Windows...首先，让我们确保正确配置 AD 环境并启用高级日志记录策略，这是完成此任务所需的。检测此枚举过程所需的唯一策略是目录服务访问审核策略。在域控制器上，它默认启用。...让我们首先从诱饵用户对象开始。创建诱饵用户对象我们将从 Active Directory 用户和计算机 MMC（Microsoft 管理控制台）创建诱饵用户对象并为它们启用审核。

2.5K2 0

如何在Ubuntu 14.04上使用Apache将www重定向到非www

准备一台已经设置好可以使用sudo命令的非root账号的Ubuntu服务器，并且已开启防火墙。...没有服务器的同学可以在这里购买，不过我个人更推荐您使用免费的腾讯云开发者实验室进行试验，学会安装后再购买服务器。假设您已安装Apache。您必须能够将记录添加到管理域的DNS中。...现在您的服务器应该可以通过www和非www域访问，但我们仍然需要设置重定向。我们现在就这样做。启用重写模块为了执行301重定向，我们将使用Apache mod_rewrite或Rewrite模块。...首先，使用以下命令启用mod_rewrite模块： sudo a2enmod rewrite 启用Rewrite模块后，我们可以使用.htaccess文件为Apache配置重定向规则。...将以下Directory指令添加到配置中，并确保将DocumentRoot替换为突出显示的部分： Options Indexes FollowSymLinks

3.5K0 0

如何在CentOS 7上使用Apache将www重定向到非www

准备一台已经设置好可以使用sudo命令的非root账号的CentOS服务器，并且已开启防火墙。...没有服务器的同学可以在这里购买，不过我个人更推荐您使用免费的腾讯云开发者实验室进行试验，学会安装后再购买服务器。假设您已安装Apache（httpd）。您必须能够将记录添加到管理域的DNS中。...启用Apache重写模块为了执行301重定向，我们将使用Apache mod_rewrite或Rewrite模块。这样做可以确保您的用户可以使用或不使用www访问您的网站。...如果由于某种原因未启用它，请确保将此行添加到Apache配置的模块部分（默认情况下为/etc/httpd/conf.modules.d/00-base.conf）： LoadModule rewrite_module...这是必须通过放宽DocumentRoot的目录权限来启用的功能。打开Apache配置文件以进行编辑。

4.2K1 0

域内计算机本地管理员密码管理

由于LAPS利用了Active Directory组件（组策略，计算机对象属性等），因此不需要其他服务器。...LAPS将每台计算机的本地管理员帐户的密码存储在Active Directory中，并在计算机的相应Active Directory对象的安全属性中进行保护。...允许计算机在Active Directory中更新其自己的密码数据，并且域管理员可以向授权用户或组（如工作站服务台管理员）授予读取权限。...将密码报告给Active Directory，并将密码和机密属性一起存储在Active Directory中。...将密码的下一个到期时间报告给Active Directory，并将该属性与计算机帐户的属性一起存储在Active Directory中。更改管理员帐户的密码。

2.9K2 0

如何为CDH集成Active Directory的Kerberos认证

Directory服务，由于Active Directory服务即提供了统一的用户管理也提供了Kerberos认证服务，在向AD中新增用户的同时也为用户创建了相应的Kerberos账号。...Kerberos 前置条件 1.Active Directory已安装且正常使用 2.测试环境描述及准备 ---- Fayson在前面一系列文章中介绍了AD的安装及与CDH集群中各个组件的集成，具体的文章就不在这里贴出来了...AD服务信息： IP地址 HOSTNAME 描述 xxx.xx.x.xx adserver.fayson.com Active Directory已安装 1.准备一个用于CM管理AD中Kerberos...9.勾选已准备好重启集群后，点击“继续” ? 10.完成集群的重启后，点击“继续” ? 如上操作已成功的为CDH集群启用了AD的Kerberos认证。...2.需要配置Active Directory后缀属性，表示CM将Hadoop所有服务的用户创建到该组织下。提示：代码块部分可以左右滑动查看噢为天地立心，为生民立命，为往圣继绝学，为万世开太平。

2.5K3 1

CDP私有云基础版用户身份认证概述

本节提供简要的概览，特别关注使用Microsoft Active Directory进行Kerberos身份验证或将MIT Kerberos和Microsoft Active Directory集成时可用的不同部署模型...这意味着运行Microsoft Server的站点可以将其集群与Active Directory for Kerberos集成在一起，并将凭据存储在同一服务器的LDAP目录中。...与Active Directory的身份集成在平台中启用Kerberos安全性的核心要求是用户在所有集群处理节点上均具有帐户。...对于未使用Active Directory的站点或希望使用开放源代码解决方案的站点，站点安全服务守护程序（SSSD）可以与AD或OpenLDAP兼容目录服务以及MIT Kerberos一起使用，以满足相同的需求...授权用户–由需要访问集群的所有用户组成的组 HDFS管理员–将运行HDFS管理命令的用户组 HDFS超级用户–需要超级用户特权（即对HDFS中所有数据和目录的读/写访问权限）的用户组不建议将普通用户放入

2.4K2 0

蜜罐账户的艺术：让不寻常的看起来正常

当攻击者对 Active Directory 进行侦察时，需要查看几个关键项目：识别特权帐户使用旧密码识别特权帐户使用 Kerberos 服务主体名称 (SPN) 识别特权帐户通过常规工作站上的网络会话识别特权帐户...在大多数 Active Directory 环境中，我们可以作为普通 AD 用户（在某些情况下没有有效的 AD 凭据）扫描所有这些 AD 森林。...有几种方法：将蜜罐帐户添加到具有真实权限的特权 AD 组，并确保其具有长而复杂的密码。一个简单的方法是打开帐户，选中用户选项“使用智能卡登录”，单击应用，然后取消选中应用。...将蜜罐帐户添加到特权 AD 组，并为攻击者提供获取假密码的能力。这可以通过看起来像服务帐户的蜜罐帐户来完成。使用“供应商密码：HPSIMple2005！”之类的内容更新信息属性。...Active Directory 的默认配置允许任何用户将 10 个计算机帐户添加到 AD 域（技术上更多，因为每个计算机帐户可以添加 10 个）。

1.7K1 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭