4
AD Attribut disabled account
Hallo,
Ich suche das Attribut im Active Directory, an dem man sieht, ob der User disabled ist. Wenn ich eine ldap-Abfrage mache, sehe ich das Attribut nicht . Hat jemand eine Idee. Ich will im AD die deaktivierten User heraus finden.
2003 Server
Gruß Peter
Ich suche das Attribut im Active Directory, an dem man sieht, ob der User disabled ist. Wenn ich eine ldap-Abfrage mache, sehe ich das Attribut nicht . Hat jemand eine Idee. Ich will im AD die deaktivierten User heraus finden.
2003 Server
Gruß Peter
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 118593
Url: https://administrator.de/forum/ad-attribut-disabled-account-118593.html
Ausgedruckt am: 10.04.2025 um 19:04 Uhr
4 Kommentare
Neuester Kommentar
Hallo Peter,
ich kenne nur die "ds-Befehle" die das könnten.
"dsquery" oder "dsget", bzw. beide in Kombination.
Gruss,
Destry
ich kenne nur die "ds-Befehle" die das könnten.
"dsquery" oder "dsget", bzw. beide in Kombination.
Gruss,
Destry
Hallo Destry,
wenn die das können, reicht mir das aus. Ich werde es gleich versuchen. Per ldap funktioniert es soviel ich weiss nämlich nicht.
Danke
Schönes WE
wenn die das können, reicht mir das aus. Ich werde es gleich versuchen. Per ldap funktioniert es soviel ich weiss nämlich nicht.
Danke
Schönes WE
Das entsprechende LDAP-Attribut ist
Das komplexe daran ist, dass es mehrere Werte per binärem Oder enthält.
Hier stehen die Details:
http://msdn.microsoft.com/en-us/library/ms680832(VS.85).aspx
Für einen normalen Benutzer, der deaktiviert ist können z.b. ACCOUNTDISABLE und NORMAL_ACCOUNT geodert sein.
Also
Die Prüfung ob ein Wert einen anderen enthält findet mit dem Wert selbst statt:
Grüße
Max
userAccountControlDas komplexe daran ist, dass es mehrere Werte per binärem Oder enthält.
Hier stehen die Details:
http://msdn.microsoft.com/en-us/library/ms680832(VS.85).aspx
Für einen normalen Benutzer, der deaktiviert ist können z.b. ACCOUNTDISABLE und NORMAL_ACCOUNT geodert sein.
Also
0x2 ODER 0x200 = 0x202 (In Dezimal: 2 ODER 512 = 514)Die Prüfung ob ein Wert einen anderen enthält findet mit dem Wert selbst statt:
0x202 ODER 0x2 = 0x202
0x202 ODER 0x123 = 0x323
zuPrüfenderWert ODER geprüfterWert = zuPrüfenderWert
Grüße
Max
Servus,
der LDAP-Filter um sich alle deaktivierten Benutzer anzeigen zu lassen, lautet:
(&(objectCategory=person)(objectClass=user)(userAccountControl:1.2.840.113556.1.4.803:=2))
Wenn du dir die deaktivierten Benutzer z.B. in einer "gespeicherten Abfrage" [1] anzeigen lassen möchtest, verwendest du diesen Filter:
(objectCategory=person)(objectClass=user)(userAccountControl:1.2.840.113556.1.4.803:=2)
[1] [LDAP://Yusufs.Directory.Blog/ - Gespeicherte Abfragen]
http://blog.dikmenoglu.de/PermaLink,guid,36fdfd57-7570-4db1-8eee-62ed36 ...
Viele Grüße
Yusuf Dikmenoglu
der LDAP-Filter um sich alle deaktivierten Benutzer anzeigen zu lassen, lautet:
(&(objectCategory=person)(objectClass=user)(userAccountControl:1.2.840.113556.1.4.803:=2))
Wenn du dir die deaktivierten Benutzer z.B. in einer "gespeicherten Abfrage" [1] anzeigen lassen möchtest, verwendest du diesen Filter:
(objectCategory=person)(objectClass=user)(userAccountControl:1.2.840.113556.1.4.803:=2)
[1] [LDAP://Yusufs.Directory.Blog/ - Gespeicherte Abfragen]
http://blog.dikmenoglu.de/PermaLink,guid,36fdfd57-7570-4db1-8eee-62ed36 ...
Viele Grüße
Yusuf Dikmenoglu
