从 SID 获取用户@域而不是域\用户

Question

这有点晦涩：我需要获取用户/组的 user@domain 形式，但我不想要 domain\user 形式。我曾经遇到过长 windows 2003+ 名称的问题，由于域\用户长度限制，两者不一样，因为新表单没有限制。

我在 C# 下，虽然我可以做到以下几点：

string GetUserName(SecurityIdentifier SID)
{
    NTAccount account = SID.Translate(typeof(NTAccount));
    string [] splits = string.Split("\\", account.Value);
    return splits[1] + @"@" + splits[0];
}

这并不总是正确的，正如我在介绍中所说，用户名@域不一定与旧的 Windows NT 形式的用户名相同。如果您不相信我，请进入 2k3+ 机器上的 AD 用户和计算机，看看旧 NT 用户名与新用户名的不同字段。

那么我如何保证从 SID 获得正确的用户名@域？除此之外，我还需要这种类型的东西来为本地用户/组工作。

Answer 1

获取此信息的 Windows API 称为 DsCrackNames - http://msdn.microsoft.com/en-us/library/ms675970。它将根据您提供的标志以任意数量的格式为您提供输出。

Answer 2

您不能使用 System.DirectoryServices.AccountManagement.Principal 和 UPN（您的 name@domain.com）来查找 Sid（也是主体上的属性）吗？
http://msdn.microsoft.com/en-us/library/bb340707.aspx

这是一个使用 DirectorySearcher 通过 UPN 搜索用户的 TechNet sn-p
http://gallery.technet.microsoft.com/ScriptCenter/de2cb677-f930-40a5-867d-ea0326ccbcdb/

获取主体后，您应该能够获取 Sid 属性。

Answer 3

我已经为retreiving user data from SID 发布了一些 C# 代码，这里同样适用于您的问题：

/* Retreiving object from SID 
  */ 
string SidLDAPURLForm = "LDAP://WM2008R2ENT:389/<SID={0}>"; 
System.Security.Principal.SecurityIdentifier sidToFind = new System.Security.Principal.SecurityIdentifier("S-1-5-21-3115856885-816991240-3296679909-1106"); 

DirectoryEntry userEntry = new DirectoryEntry(string.Format(SidLDAPURLForm, sidToFind.Value)); 
string name = userEntry.Properties["userPrincipalName"].Value.ToString();