Windows: individuelle LDAP Abfragen

0

Mittels LDAP-Abfragen kann man über die Verwaltungskonsole "Benutzer und Computer" die angezeigten Benutzer auch nach bestimmten Kriterien filtern. Dies ermöglicht einem eine bessere Verwaltung der A-Objekte.

Einen LDAP-Abfrage basierten Filter kann man wie folgt setzten:

Nachfolgend einmal ein paar Beispiele für eine Mögliche Filterung. Das Prinzip ist relativ einfach und man hat es nach 2-3 Abfragen eigentlich auch verstanden 😉

Passwort muss geändert werden

(&(objectcategory=person)(samaccountname=*)(pwdlastset=0))

Benutzer & Kontakte anzeigen

(&(objectcategory=person))

NUR Benutzer anzeigen

(&(objectCategory=person)(objectClass=user))

zeige alle an, die mit Vorname Max UND mit Nachnamen Mustermann heißen

(&(givenName=Max)(sn=Mustermann))

zeige alle an, die NICHT Mustermann mit Nachnamen heißen

(&(!sn=Mustermann))

zeige alle an, die deren Vorname mit "Muster" beginnt

(&(sn=Muster*))

Zeige deaktivierte Konten

(&(msExchUserAccountControl=2)

Zeige alle an, die auf dem Server \FileServer ein Homelaufwerk haben

(&(objectcategory=person)(homeDirectory=\FileServer*))

Alle Benutzer anzeigen, die mit "s-" anfangen

(&(objectCategory=person)(objectClass=user)(sAMAccountName=s-*))

Alle Benutzer

(&(objectCategory=person)(objectClass=user)(lastLogonTimeStamp<=129857400000000000))

Die Uhrzeit muss in einem speziellen Format angegeben werden. Unter http://www.rlmueller.net/Programs/DateToInteger8.txt gibt es ein vbscript, dass einem ein Datum dementsprechend umwandelt. Um die konvertierte Zahl nicht abtippen zu müssen, kann man es mittels cmd aufrufen:

cmd /k cscript x:script.vbs "01/01/2012 00:00:00 AM"

Alle Benutzer die sich weniger als 806x angemeldet haben

(&(objectCategory=person)(objectClass=user)(logonCount<806))

Alle Benutzer, die sich mehr als 4x versucht haben mit einem falschen Kennwort an zu melden

(&(objectCategory=person)(objectClass=user)(badPwdCount>=4))

Nachfolgend noch einige Felder gegen die man Filtern kann:

 [0]: "homemdb"
 [1]: "countrycode"
 [2]: "cn"
 [3]: "msexchuseraccountcontrol"
 [4]: "mailnickname"
 [5]: "msexchhomeservername"
 [6]: "msexchhidefromaddresslists"
 [7]: "msexchalobjectversion"
 [8]: "usncreated"
 [9]: "objectguid"
[10]: "msexchrequireauthtosendto"
[11]: "whenchanged"
[12]: "memberof"
[13]: "accountexpires"
[14]: "displayname"
[15]: "primarygroupid"
[16]: "badpwdcount"
[17]: "objectclass"
[18]: "instancetype"
[19]: "msmqdigests"
[20]: "objectcategory"
[21]: "samaccounttype"
[22]: "whencreated"
[23]: "lastlogon"
[24]: "useraccountcontrol"
[25]: "msmqsigncertificates"
[26]: "samaccountname"
[27]: "userparameters"
[28]: "mail"
[29]: "msexchmailboxsecuritydescriptor"
[30]: "adspath"
[31]: "lockouttime"
[32]: "homemta"
[33]: "description"
[34]: "msexchmailboxguid"
[35]: "pwdlastset"
[36]: "logoncount"
[37]: "codepage"
[38]: "name"
[39]: "usnchanged"
[40]: "legacyexchangedn"
[41]: "proxyaddresses"
[42]: "userprincipalname"
[43]: "admincount"
[44]: "badpasswordtime"
[45]: "objectsid"
[46]: "msexchpoliciesincluded"
[47]: "mdbusedefaults"
[48]: "distinguishedname"
[49]: "showinaddressbook"
[50]: "givenname"
[51]: "textencodedoraddress"
[52]: "lastlogontimestamp"

 

Teilen.

Über den Autor

Seit der Ausbildung zum Fachinformatiker Systemintegration (2002-2005) bei der DaimlerChrysler AG, beruflich im Bereich der E-Mail Kommunikation (Exchange, Linux) sowie des ActiveDirectory, mit entsprechenden Zertifizierungen (MCSE 2003, MCITP Ent.-Admin 2008, MCSE 2012, LPIC 1-3) tätig. Abgeschlossenes Studium zum Master of Science der IT-Management an der FOM sowie zertifizierter Datenschutzbeauftragter. Aktuell im Projektmanagement tätig.

Antworten