Ich versuche mir meinen Arbeitsalltag mit “Gespeicherten Abfragen” unter den “Active Directory Benutzer und Computer” zu vereinfachen. Bei diesen Suchen handelt es sich meistens um LDAP-Abfragen, die teilweise nicht ganz schlüssig sind. Die Grundabfragen, die mich ein wenig Arbeit gekostet haben bzw. wo ich stark suchen musste, stelle ich gerne zur Verfügung:
Welche Anwender sind in der Gruppe “GRP-Intern” in der OU “Intern” der Domäne “W2K8Cert.local” ?
(objectCategory=user)(memberOf=CN=GRP-Intern,OU=Intern,DC=W2K8Cert,DC=local)
Nun kann man eine entsprechende Abfrage konkretisieren und die “nicht aktiven Anwender” (disabled) nicht mit anzeigen lassen. Dort muss in der Abfrage folgendes eingebaut werden:
(!userAccountControl:1.2.840.113556.1.4.804:=2)
Über die selbe Abfrage können aber auch alle deaktvierten User der Domäne angezeigt werden, da das Ausrufezeichen ach der Klammer nur als Negierung der Eigenschaft gilt:
(objectCategory=user)(!userAccountControl:1.2.840.113556.1.4.804:=2)
Über den Austausch der Category “user” gegen “computer” können auch deaktiverte Computerkonten angezeigt werden
Um zu prüfen, ob alle Anwender ein Loginskript haben, kann folgende Abfrage genutzt werden:
(objectCategory=user)(!scriptPath=*)
Anstatt dem Sternchen kann auch der Aufruf des Loginskripts genutzt werden, um zu prüfen, wer ein falsches Skript nutzt.
Für Userpasswort läuft nicht ab kann folgende Abfrage angewandt werden:
(objectCategory=user)(userAccountControl:1.2.840.113556.1.4.803:=65536)
Die größte Suche habe ich in letzter Zeit in die folgende Abfrage investeriert:
Ich musste als Nicht-Domänen-Administrator herausbekommen, ob die User im Reiter “Dial-In” den Punkt Deny für die “Remote Access Permission” gesetzt hatten. Der folgende Eintrag muss den Usern ausgewertet werden:
(objectcategory=person)(objectClass=user)(msNPAllowDialin=FALSE)
Ändert man den Wert “FALSE” auf “True” so können auch alle Anwender abgefragt werden, bei denen die Einstellung auf “Allow” gesetzt ist.
Selbstverständlich ist eine Kombinierung von mehreren Werten möglich.
Related posts:
