DirectoryServices.Protocols.SearchRequest为GUID返回多个结果

Question

我正在编写与Microsoft Active Directory集成的软件。以前，我们用DirectoryServices.Protocols.SearchRequest使用类似的查询搜索特定的用户：

var request = new SearchRequest("DC=corp,DC=spring,DC=lan", "(objectGUID=\71\ad\7d\cc\6e\fa\cc\4e\87\c5\b7\a8\5b\85\e7\36)", ... 

然而，我们发现，它可能是依赖于树中的对象的数量慢，所以我们切换到：

var request = new SearchRequest("<GUID=cc7dad71-fa6e-4ecc-87c5-b7a85b85e736>", "(objectCategory=*)", ... 

在我们的测试环境中，这个工作并且似乎执行得更快，但是我们的最终用户一直在报告问题。我已经从日志文件中获得了足够的诊断信息，以确定问题是新查询返回了多个Entry结果，其中软件只需要一个，而这是我目前必须处理的。

有谁知道额外结果的来源可能是什么？我的理解是objectGUID在Active Directory环境中应该是唯一的。

更新 - 实际代码：

SearchResultEntryCollection results = null; 
try 
{ 
    var request = new SearchRequest("<GUID=cc7dad71-fa6e-4ecc-87c5-b7a85b85e736>", "(objectCategory=*)", 
     SearchScope.Subtree, new[] { "sAMAccountName", "objectGUID", "cn", "mail", "telephoneNumber" }); 
    var response = this._connection.SendRequest(request) as SearchResponse; 

    if (response != null && response.ResultCode == ResultCode.Success && response.Entries != null) 
    { 
     results = response.Entries; 
     return results; 
    } 

    errorMessage = response != null && !string.IsNullOrWhiteSpace(response.ErrorMessage) 
     ? response.ErrorMessage 
     : "Unknown Error" 
} 
catch (DirectoryException e) 
{ 
    errorMessage = e.Message; 
} 

//other error handling 

Answer 1

你有没有考虑使用DirectoryEntry类做一个GUID LDAP绑定？

如果代码只能在AD中找到单个条目，则使用该GUID进行绑定可能会更好。尽管你必须检索所有的对象数据。

DirectoryEntry entry = new DirectoryEntry("LDAP://<GUID=cc7dad71-fa6e-4ecc-87c5-b7a85b85e736>"); 

Answer 2

问题是，您可能正在搜索的用户帐户下有一些其他子对象。这些子对象可以没有GUID，所以父对象的GUID被继承。

例如Exchange的Active-同步设备（SCCM/Intune的设备关联）：

的解决方案是增加一个搜索过滤器像

(&(objectClass=person)) 

，然后你会只获取您正在搜索的用户帐户。