c# – 检查是否启用了UserPrincipal

我正在使用C#代码来查询Active Directory.我遇到的主要问题是确定帐户是否已被禁用.通过阅读许多在线文章,似乎不能单独依赖属性UserPrincipal.Enabled来确定是否启用了用户帐户.很公平,因为它是一个可以为空的布尔值,但是当AD管理员禁用某个帐户时,这似乎设置为false.我遇到的问题是当我查询客户端的AD时,我发现大多数用户帐户UserPrincipal对象都为此属性返回false.因此,当我使用此代码检查帐户是否被禁用时：

private bool IsUserEnabled(UserPrincipal userPrincipal)
{
        bool isEnabled = true;

        if (userPrincipal.AccountExpirationDate != null)
        {
            // Check the expiration date is not passed.
            if (userPrincipal.AccountExpirationDate <= DateTime.Now)
            {
                Log.DebugFormat("User {0} account has expired on {1}",userPrincipal.DisplayName,userPrincipal.AccountExpirationDate.Value);
                isEnabled = false;
            }
        }

        if (userPrincipal.IsAccountLockedOut())
        {
            isEnabled = false;
            Log.DebugFormat("User {0} account is locked out",userPrincipal.DisplayName);
        }

        if (userPrincipal.Enabled != null)
        {
            isEnabled = userPrincipal.Enabled.Value;
            Log.DebugFormat("User {0} account is Enabled is set to {1}",userPrincipal.Enabled.Value);
        }

        return isEnabled;
}

由于userPrincipal.Enabled检查,大多数帐户似乎已禁用.

但是,如果我将其删除并仅依赖帐户到期日期和帐户锁定属性,那么我可能会错过使用Active Directory中的复选框禁用该帐户的人员,而无需设置帐户到期日期.

启用的所有帐户返回false实际上是可以登录到域的活动帐户.

如何检查帐户是否实际启用？

var searcher = new DirectorySearcher(dirEntry)
            {
                Filter = "(UserAccountControl:1.2.840.113556.1.4.803:=2)",PageSize = 50
            };

var result = (DirectoryEntry)userPrincipal.GetUnderlyingObject();
var uac = (int)result.Properties("useraccountcontrol");
var isEnabled = !Convert.ToBoolean(uac & 2);