Мой сетевой администратор хотел бы переключить Active Directory из смешанного режима в основной режим и спросил меня, повлияет ли это на наше основное приложение Windows Form. Приложение обращается к AD через API участника безопасности .NET:
var principal = new WindowsPrincipal(WindowsIdentity.GetCurrent());
а затем тестирует Principal.IsInRole, чтобы определить роль пользователя. Я почти на 100% уверен, что переход в основной режим не повлияет на это приложение. но это не то, что мы можем протестировать, и из того, что я читал, невозможно переключить его обратно в смешанный режим, если что-то пойдет не так.
Я бы хотел немного подбодрить его, чтобы дать ему добро на переход.
Смешанный режим по сравнению с основным режимом - это все о совместимости с ОС контроллера домена. Смешанный режим позволяет контроллерам домена NT4 сосуществовать в домене Windows 2000. Для основного режима требуются все контроллеры домена Windows 2000 (или выше). Проверка подлинности NTLM не теряется при переходе в основной режим. Вот хороший учебник на эту тему от 1999 года: Смешанный режим против основного режима.
По мере развития Windows Server количество функциональных уровней AD увеличивалось с каждым новым основным выпуском. Помимо смешанного режима и основного режима, существуют также режим совместимости с Windows Server 2003 и режим совместимости с Windows Server 2008. Как следует из названий, эти режимы позволяют включать новые функции AD, когда все контроллеры домена находятся на соответствующем уровне ОС или выше, а функциональные уровни домена и / или леса обновлены.
Я не могу дать вам прямой ответ - я новичок в ATM для .NET. Мне жаль, что я больше не могу.
Однако я могу вам сказать: переход в собственный режим устраняет поддержку совместимости для предыдущих версий аутентификации AD. Итак, если вы переходите с NT4 на 2000 (первое поколение проблем этого типа) и ваша аутентификация не основана на 2000 AD, то да, это сломается. Я подозреваю, что у вас, вероятно, 2003 или 2008, а собственный режим 2003 - это еще один шаг вперед по сравнению с 2000 (он же смешанный режим - это поддержка 2000 + 2003, но без поддержки NT4), поэтому переход на собственный режим будет состоять только из аутентификации 2003, я Я прав? И в этом заключается загвоздка - если ваше приложение правильно аутентифицируется на сервере 2003, вы наверное хорошо.
Дорогое предложение: используйте две виртуальные машины, одну под управлением 2003, а другую клиентскую ОС с вашим приложением, и выполните аутентификацию. Убедитесь, что 2003 работает в полном собственном режиме. Это должно дать окончательный ответ на ваш вопрос.
Я разработчик, и переход в собственный режим не повлияет на эту строку кода. Однако желательно, чтобы у вас был tst-лес для тестирования этих типов изменений.
Вам нужно это проверить.
Существуют и другие сценарии, в которых переключение из основного режима и отключение устаревших методов проверки подлинности Windows может представлять проблему. Мы сделали это несколько лет назад, и несколько приложений, которые пользователи считали важными, имели проблемы из-за использования небезопасных хешей NTLM.
Это был 2004 год, надеюсь, приложения сегодня стали лучше, но я все же рекомендую протестировать все, что можно.