Полезные выборки LDAP\AD

active_directory

Пожалуй, это будет один из самых коротких постов. Выкладываю свои выборки пользователей из AD, что бы не забыть.

 

  • Включенные, просроченные\не просроченные, не системные пользователи не имеющие в профиле почты:
(&(&(objectCategory=user)(!mail=*)(&(objectClass=user)(objectCategory=PERSON)(company=*)(|(userAccountControl=512)(userAccountControl=66048)))))

 

  • Включенные\выключенные, просроченные\не просроченные, не системные пользователи, в обязательном порядке имеющие в профиле почту и в поле «Описание» полную дату рождения в виде dd.mm.yyyy:
(&(&(objectCategory=user)(mail=*)(description=*.*.*)))

 

  • Тоже что и выше, но с пустым полем «Описание»:
(&(objectCategory=user)(!description=*)(mail=*))

 

  • Тоже что и выше, но поле «Описание» не пустое (содержит записи любого вида):
(&(objectCategory=user)(description=*)(mail=*))

 

  • Отключенные, просроченные\не просроченные, не системные и системные пользователи.

Срок действия пароля не ограничен

Работает только если в профиле пользователя нет галки «Срок действия пароля не ограничен»

Если надо не ограничивать сроки действия пароля, это можно сделать через GPO.

 

 

 

 

 

(&(&(objectClass=user)(objectCategory=PERSON)(userAccountControl=514)))

 

  • Ну и пожалуй самое интересное, что пришлось очень долго сооружать. Это вывод всех просроченных пользователей.

Срок действия учетной записи

Очень много админов пользуются галкой «Срок действия учетной записи» по отношению к увольняющимся сотрудникам.

И ведь это действительно удобно, поставил дату увольнения и все, учетка «обезврежена». Но часто это забывается, а когда пользователей не одна сотня и ты их даже в глаза не видел, найти потом просроченную учетку проблематично.

Для этого у меня такая выборка, хотя мелкомякие утверждают в технете, что это невозможно:

 

(&(&(&(objectCategory=user)(&(objectClass=user)(objectCategory=PERSON)(!accountExpires=0)(!accountExpires=9223372036854775807)(!userAccountControl=514)))))

 

Дополнение статьи от 18.11.2015

Выборка всех компьютеров в домене:

(&(objectCategory=computer)(name=*))

 

Выборка отключенных компьютеров:

(&(objectCategory=computer)(name=*)(objectCategory=computer)(userAccountControl:1.2.840.113556.1.4.803:=2))

 

Выборка только включенных компьютеров:

(&(&(&(objectCategory=computer)(name=*)(objectCategory=computer)(!userAccountControl:1.2.840.113556.1.4.803:=2))))

 

Выборка всех пользователей кроме отключенных руками:

(&(&(&(objectCategory=person)(objectClass=user)(!userAccountControl:1.2.840.113556.1.4.803:=2))))

 

А вот сейчас будет вкуснятина — выборка пользователей заблокировавшихся после неудачного ввода пароля:

(&(&(&(&(&(objectCategory=person)(objectClass=user)(lockoutTime:1.2.840.113556.1.4.804:=4294967295))))))

 

Только отключенные руками пользователи:

(&(objectCategory=person)(objectClass=user)(userAccountControl:1.2.840.113556.1.4.803:=2))

 

Вот тоже отличная выборка — выборка не отключенных руками и по времени пользователей:

(&(&(&(objectCategory=user)(objectClass=user)(!userAccountControl:1.2.840.113556.1.4.803:=2)(|(accountExpires=9223372036854775807)(accountExpires=0)))))

 

Вот такие рецептики. Если есть что добавить, или я где то не прав. Прошу в комменты.

Смотрите так же:

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.