Archive for the ‘Active Directory’ Category

Schlafende User finden…

Monday, August 13th, 2007

Man nehme
1. ein Utility um Active Directory “Quick&Dirty” per LDAP abzufragen (zum Beispiel adfind von hier)
2. Das Feld UserAccountControl ist bitkodiert. KB269181 erkärt wie man AND/OR abfragen gegen LDAP fährt.
3. MS KB305144 liefert die abzufragenden Eigenschaften von UserAccountControl Attribut (z.B: Account Expired = 8388608)
4. Beispielabfrage:

finde deaktivierte User:
adfind -s subtree -b OU=EGAL,DC=MYDOMAIN,DC=LOC -f userAccountControl:1.2.840.113556.1.4.803:=2 -dn

finde User mit abgelaufenen Passwort:
adfind -s subtree -b OU=EGAL,DC=MYDOMAIN,DC=LOC -f userAccountControl:1.2.840.113556.1.4.803:=8388608 -dn