AD Abfrage

[DFellow 10]

Hallo zusammen,

 

ich habe ein kleines Problem, welches ich einfach nicht in den Griff bekomm. Ich möchte aus dem AD abfragen welche Benutzer sich die letzten 60 Tage nicht angemeldet haben und deren Konto nicht deaktiviert ist.

 

Ich habe nun schon alles Mögliche versucht und seh langsam den Wald vor lauter Bäumen nicht mehr. Es kann doch nicht so schwer sein, dies per Abfrage rauszubekommen?!

 

Ich habe auch schon mit der LDAP Sache rumgespielt alla:

(&(objectClass=user)(objectCategory=person)(lastlogon>=60)(!useraccountcontrol=2))

 

Leider will das nicht funktionieren oder ich mach hier was grundlegendes falsch.

 

Danke schonmal für eure Hilfe & Viele Grüße

DFellow

[Daim 12]

Servus,

 

versuche es mal mit diesem Filter, in einer gespeicherten (benutzerdefinierten) Abfrage:

 

(objectCategory=person)(objectClass=user)(lastlogon>=60)(userAccountControl:1.2.840.113556.1.4.803:=2)

 

 

Yusufs Directory Blog - Gespeicherte Abfragen

[NilsK 2.785]

Moin Jungs,

 

ich widerspreche euch ungern, aber spontan würde ich sagen, dass "lastlogon>=60" nicht funktioniert.

 

Gruß, Nils

[DFellow 10]

Hallo zusammen,

 

danke euch schonmal für die Antworten. Also ich konnte nun mit (!userAccountControl:1.2.840.113556.1.4.803:=2) die "deaktivierten Konten" ausschließen. Leider ist es so wie Nilsk sagte, dass >= 60 Tage nicht funktioniert. Wie kann ich hier noch die Lastlogon filtern? So bekomm ich halt alle Konten.

 

Danke schonmal für die Hilfe...

 

Viele GRüße

Denis

[Christoph35 10]

Hi,

 

wir nutzen dieses Tool zur Ermittlung inaktiver User Accounts:

 

OldCmp

 

Kommandozeile kann wie folgt lauten:

OldCmp.exe -b <basedn> -users -nodc -llts -realage -age <x> -sort cn -unsafe -report -file \\<fileserver>\<share>\filename.htm

x = Inaktivität in Tagen

[Daim 12]

Salut,

 

ich widerspreche euch ungern,

 

ich weiß wie schwer es dir gefallen ist. ;)

 

aber spontan würde ich sagen, dass "lastlogon>=60" nicht funktioniert.

 

Auha... ich sah direkt das der Eintrag userAccountControl nicht stimmt und hatte mich nur darauf "fokusiert". Den Rest davor hatte ich erstklassig ausser acht gelassen. :o

[DFellow 10]

Hallo zusammen,

 

also ich hab den Filter nun wie folgt gestaltet:

(&(&(samaccounttype=805306368)(lastLogonTimestamp<=128756142944840000)(!useraccountcontrol:1.2.840.113556.1.4.803:=2)))

 

Funktioniert soweit auch ganz ordentlich, jetzt hab ich noch eine Frage:

Den Wert für den Timestamp kann ich nicht automatisch berechnen lassen, oder?

 

Danke euch & Viele Grüße

DFellow

[DFellow 10]

Hallo zusammen,

 

ich nochmal... Ich bin hier schier am verzweifeln. Wo kann man sich denn in diese LDAP-Abfragen Thematik einlesen?

 

Ich möchte im AD eine Abfrage erstellen die mir alle User auflistet, deren Vorname und Anmeldename übereinstimmen. Ist dis Möglich?

 

Ich habe schon probiert:

(&(objectCategory=user)(userPrincipalName=givenName))

 

Leider kommt hier kein Ergebniss aber auch kein Fehler.

Kann mir jemand Helfen?

 

Danke schonmal & Gruß

DFellow

[Christoph35 10]

Der Userprincipalname kann nicht gleich dem Vornamen sein, da der UPN nach dem Schema user@domain.tld aufgebaut ist.

 

Versuch es stattdessen mit dem Attribut sAMAccountName.

 

Der ADExplorer könnte Dir einen Einblick ins AD verschaffen:

http://technet.microsoft.com/en-us/sysinternals/bb963907.aspx

 

Christoph

[frommi 10]

Howdie!

 

Hallo zusammen,

 

ich nochmal... Ich bin hier schier am verzweifeln. Wo kann man sich denn in diese LDAP-Abfragen Thematik einlesen?[/Quote]

 

Da gibt es kein Buch oder generelles, gutes Howto, soweit ich weiß. Prinzipiell musst du eigentlich nur zwei Dinge beherrschen:

 

(1) Die Abfrage/Filtersyntax

(2) Die Attribute und die Form, wie ihre Werte gespeichert werden.

 

Es läuft ja eigentlich immer nach dem Schema (attribute=wert), wobei = natürlich verschiedene Vergleichsoperatoren annehmen kann.

 

Ich möchte im AD eine Abfrage erstellen die mir alle User auflistet, deren Vorname und Anmeldename übereinstimmen. Ist dis Möglich?

 

Ich habe schon probiert:

(&(objectCategory=user)(userPrincipalName=givenName))

[/Quote]

 

Das wird so auch nicht gehen. So wie der Filter jetzt aussieht, wird bei userPrincipleName nach dem Wert "givenName" gesucht. Der Filter muss attribut=wert formatiert sein, was dein Vorhaben afaik nicht realisierbar macht.

 

Das wirst du skripten/programmieren müssen...

 

Cheers,

Florian

[Christoph35 10]

Da hat Frommi natürlich auch recht, hab ich übersehen :rolleyes:

 

Christoph

[DFellow 10]

Danke euch für die schnellen Antworten. Ist zwar nicht das was ich mir erhofft habe, aber immerhin weiß ich nun zuverlässig das es nicht so geht. ;)

 

Wenn ich das ganze per Script realisieren möchte, dann kann ich mir von der Theorie her 2 Arrays basteln mit jeweils dem Vornamen und Loginnamen und vergleich diese dann miteinander?! :suspect:

 

Mal schaun.

 

Danke euch & Gruß

DFellow

[NilsK 2.785]

Moin,

 

je nach Größe der Umgebung und nach Art deiner Anforderung ist es einfacher, die Objekte mit csvde komplett zu exportieren und dann die Auswertung mit Excel durchzuführen.

 

Gruß, Nils

[DFellow 10]

Hi Nilsk,

 

danke dir, habe es nun der einfachkeitshalber so gestaltet wie du geschrieben hast. Hat soweit super geklappt.

 

Danke dir / euch allen für die Hilfe & Gruß

DFelllow