如何用Active Directory替换我的专有用户帐户和权限数据库

我有一个。net应用程序，它具有通过专有数据库(即平面文件)管理的身份验证和细粒度特性访问控制。我所说的"细粒度"是指，例如，访问控制权限允许某些用户单击UI中的特定按钮，而其他用户只能将该按钮视为禁用按钮。

理想情况下，我想摆脱我的专有数据库和实用程序代码，允许用户编辑数据库。由于我们是在Windows环境中，我立即被活动目录所吸引，因为我的大部分工作生活似乎都是由it部门和他们的活动目录设置控制的。

我的第一个问题是我对活动目录一无所知。我很快就被诸如组策略、应用程序访问控制策略等新术语淹没了。访问控制列表。我很难找到指导方针/教程等做我想做的事情，我开始认为我犯了一个错误，活动目录的目的是身份验证和Windows访问控制，而不是对国产。net应用程序的访问控制。

我目前的想法是尝试使每个细粒度的权限一个活动目录对象(ADO)，定义使用我的应用程序作为活动目录组(ADG)的角色，并通过访问控制列表将ADG或一些ADG与每个ADO关联。

目前我认为我唯一可以回答的问题是我应该使用什么类型的ADO ?