Discussion:
user disabled oder gesperrt. filter für LDAP
(zu alt für eine Antwort)
martin frank
2004-07-15 13:42:50 UTC
Permalink
hallt zusammen,
ich bastel mir grad in .net ein kleines supporttool.
nun bin ich grad dabei, AD über LDAP auszulesen, was auch
in vielen fällen gut funzt.
nun will ich mir eine abfrage basteln, die nur die
disabled oder gesperrten(zB zu oft falsches passwort)
konten anzeigt.
wie setze ich hier den filter.
mit dem winnt provider ist das kein problem, disabled ist
eine eigene konstante und gesperrt ist ein bit in den
userflags.
LDAP ist aber, zumindest wie ich es einsetzte, wesentlich
schneller.
kann mir einer die parameter geben, oder ein link, wo
mal "alle" parameter mit deren bedeutungen aufgezeichnet
sind?

mfg
mfp
Michael Wirth [MS]
2004-07-16 13:49:39 UTC
Permalink
Post by martin frank
mit dem winnt provider ist das kein problem, disabled ist
eine eigene konstante und gesperrt ist ein bit in den
userflags.
LDAP ist aber, zumindest wie ich es einsetzte, wesentlich
schneller.
kann mir einer die parameter geben, oder ein link, wo
mal "alle" parameter mit deren bedeutungen aufgezeichnet
sind?
Wenn das Attribut lockouttime grösser 0 ist, dann ist der Account gesperrt.
Account disabled ist ein Bit im Useraccountcontrol Attribut. Hier sollte als LDAP Filter
(userAccountControl:1.2.840.113556.1.4.803:=2) funktionieren. Bitwise comparison ist
in dem folgenden Link näher beschrieben:
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/ad/ad/how_to_specify_comparison_values.asp
AccountDisabled ist aber auch direkt als Property in ADSI ansprechbar, wenn ich mich
richtig entsinne.

Alle Attribute sind im Platform SDK unter dem AD Schema dokumentiert:
http://msdn.microsoft.com/library/en-us/adschema/adschema/active_directory_schema.asp
--
Michael Wirth
Microsoft Services

This posting is provided "AS IS" with no warranties
and confers no rights. You assume all risk for your use.
© 2004 Microsoft Corporation. All rights reserved.
Martin Frank
2004-07-17 05:41:42 UTC
Permalink
danke für die antwort,
ja das disabled hab ich genau so gelöst.
das gesperrt, so hab ich nun rausbekommen, ist leider
nicht über LDAP abzufragen, einen hinweis aus
den "zustand" gibt zwar die lockouttime, sie ist aber auch
in anderen fällen (keine ahung wann noch) grösser als
null. heisst in meinem fall, dass ca 50% der accounts
einen anderen wert als 0 haben.
na, das wird auch der grund sein, wieso man bei allen
tools, die ich kenne, das "gesperrt" erst sieht, wenn man
die eigenschaften öffnent, weil alles andere zu langsam
wäre.

thx für die tips und für die links

mfg
mfp

Loading...