AD 中的用户,可能不全是某系统的用户。于是,要进行区分开来。做法如下:
1、先建立一个组,如CRM_USERS。
2、让使用CRM所有的用户从属于这个组。
3、再建立角色组,如CRM_ROLE_MANAGER、CRM_ROLE_BUSSNESS,让 CRM_ROLE_MANAGER及CRM_ROLE_BUSSNESS 也属于 CRM_USERS组。其它的角色,相继建立。
4、分配角色。添加让管理员(MANAGER)属于CRM_ROLE_MANAGER;添加让业务员属于CRM_ROLE_BUSSNESS组。
5、取用户、角色。 得到AD的CRM_USERS后,有MEMBER属性,就能得到所有用户及组成员。取用户,就是CRM_USERS成员中的所有用户。取角色,就是CRM_USERS成员中所有的组。
角色对应,用户的的AD属性中,会有MEMBEROF,这个是组。就排除非角色的组别,就是角色了。
本文讨论一种实现的方法。应该说是比较容易实现的方法。