根据Active Directory验证ASP.NET用户：谁管理用户和组？

我正在进行的一个项目应该是对AD用户进行身份验证。我以前从未使用过AD，也没有在使用AD的组织中工作过，所以我有一个愚蠢的问题：如果涉及到AD，谁来管理应用程序的角色、组和用户？我是否有责任为站点管理员提供一个UI，以便将广告用户分配给我的应用程序角色，或者广告管理员应负责创建我的应用程序所需的适当组，并在其中分配现有广告用户

这个部门的最佳做法是什么

---

---

需要注意的是，这不是一个内部应用程序，所以它应该与现有的广告一起使用。问题是，如果我希望扮演“教师”和“学生”这样的角色（仅为了说明这一点），我是否可以期望it人员在广告中创建适当的组并为其分配用户？

这实际上取决于广告的所有者，谁将负责管理用户帐户。如果此广告与您的公司域隔离，并且您希望您的支持人员、销售人员或其他业务人员管理这些帐户，那么请务必为它们创建一个管理工具

如果您试图与现有广告绑定，那么您应该与您的IT部门密切合作，他们可能希望以自己的方式创建帐户（特别是如果您使用现有凭据）

本质上，这可以归结为你的IT如何运作，以及你使用的广告和运营公司网站的广告之间的关系

编辑

---

根据你的额外信息，我认为你需要提供一个管理员控制台。特别是如果你想把目标对准外面的小商店。您的解决方案应该使其成为可选的，因此如果他们想使用管理UI，他们可以，但如果it部门想使用Powershell，他们也可以这样做。

如果您正在为另一家公司编写此应用程序，我想您可以假设他们将负责管理广告用户和组。您只需要与客户端协调您的应用程序将使用哪些角色/组。

我认为您不应该为active directory提供Gui。大多数使用active directory的组织都使用标准的active directory工具来管理它

如果你想处理小商店的案件。然后将这些组设置为应用程序数据库的内部。您仍然可以使用active directory用户。但是组管理和成员资格将在您的应用程序内部。这将避免处理active directory复杂规则的大部分问题，并且仍然受益于单点登录

还有一件事需要注意。组名应该是可自定义的。大多数地方都有组名的命名约定