Ich versuche mir meinen Arbeitsalltag mit “Gespeicherten Abfragen” unter den “Active Directory Benutzer und Computer” zu vereinfachen. Bei diesen Suchen handelt es sich meistens um LDAP-Abfragen, die teilweise nicht ganz schlüssig sind. Die Grundabfragen, die mich ein wenig Arbeit gekostet haben bzw. wo ich stark suchen musste, stelle ich gerne zur Verfügung:
Welche Anwender sind in der Gruppe “GRP-Intern” in der OU “Intern” der Domäne “W2K8Cert.local” ?
(objectCategory=user)(memberOf=CN=GRP-Intern,OU=Intern,DC=W2K8Cert,DC=local)
Nun kann man eine entsprechende Abfrage konkretisieren und die “nicht aktiven Anwender” (disabled) nicht mit anzeigen lassen. Dort muss in der Abfrage folgendes eingebaut werden:
(!userAccountControl:1.2.840.113556.1.4.804:=2)
Über die selbe Abfrage können aber auch alle deaktvierten User der Domäne angezeigt werden, da das Ausrufezeichen ach der Klammer nur als Negierung der Eigenschaft gilt:
(objectCategory=user)(!userAccountControl:1.2.840.113556.1.4.804:=2)
Über den Austausch der Category “user” gegen “computer” können auch deaktiverte Computerkonten angezeigt werden
Um zu prüfen, ob alle Anwender ein Loginskript haben, kann folgende Abfrage genutzt werden:
(objectCategory=user)(!scriptPath=*)
Anstatt dem Sternchen kann auch der Aufruf des Loginskripts genutzt werden, um zu prüfen, wer ein falsches Skript nutzt.
Für Userpasswort läuft nicht ab kann folgende Abfrage angewandt werden:
(objectCategory=user)(userAccountControl:1.2.840.113556.1.4.803:=65536)
Die größte Suche habe ich in letzter Zeit in die folgende Abfrage investeriert:
Ich musste als Nicht-Domänen-Administrator herausbekommen, ob die User im Reiter “Dial-In” den Punkt Deny für die “Remote Access Permission” gesetzt hatten. Der folgende Eintrag muss den Usern ausgewertet werden:
(objectcategory=person)(objectClass=user)(msNPAllowDialin=FALSE)
Ändert man den Wert “FALSE” auf “True” so können auch alle Anwender abgefragt werden, bei denen die Einstellung auf “Allow” gesetzt ist.
Selbstverständlich ist eine Kombinierung von mehreren Werten möglich.