这更多的是比寻求帮助的请求的好奇心，但我注意到，使用的PrincipalPermission和验证用户在Active Directory中的特定组它不会使用真实的组名称的一部分，而是时验证针对Windows 2000以前的组名代替。 按说这不会有所作为 - 除非有人发生，使这些值不同。

谁能想到，为什么.NET API会使用，而不是“真实”的名字该组的名字吗？ 这使我悲伤，有点盲目运气的时间，终于弄清楚这一切了。

我将承担（而不必测试，这个尝试我自己）认为的PrincipalPermission属性将使用“sAMAccountName赋”在Active Directory用户和组的名称（如“用户”或“JOHNDOE”），而不是“专有名称”（DN）你可能期望（ “CN =用户”， “CN =李四”）。

这背后的原因很可能是你比如一个独立的服务器，或者NT4域上工作的地方的情况。 在这种情况下，你根本就没有任何基于AD的专有名称 - 但你确实有SAM帐户名。

因此，在某种意义上，这似乎威力起初有点出人意料 - 但它有一定道理在我使用这些SAM帐户名（AD前的名字）的意见 - 你不同意？

渣