Active Directory で現在ロックされているすべてのアカウントを一覧表示するアプリケーションを構築しようとしています。私が理解している限り、Active Directory は、アカウントがロックされているときにLockedOutオブジェクトのプロパティを に変更します。truelockoutTime>1
実行すると、このプロパティやその他のプロパティが表示されることはわかっていますが、get-aduser johndoe -properties *LDAP クエリを介してすべてのプロパティを取得することはできませんでした。
つまり、lockedOutLDAP クエリなどを介して拡張 AD プロパティをプルすることは可能ですか?
申し訳ありませんが、私の前の答えは確かに間違っていました。ただし、いくつかの調査を行った後、次のように思われます。
属性が未設定または 0の場合、アカウントがロックアウトされていないlockoutTimeことを確実に示します。(この記事の備考欄を参照してください)。
msDS-User-Account-Control-Computedビット フィールド属性は、アカウントがロックされているかどうか (ビットが設定されている場合) を確実に示しますが0x10、計算された値であるため、検索フィルターに含めることはできません。
そのため、最適な解決策は、のようなフィルターでロックされている可能性(&(objectClass=user)(lockoutTime>=1))のあるすべてのアカウントを照会し、プログラムで属性の0x10ビットを調べて結果をさらにフィルター処理することです。これにより、正確な結果が得られます。msDS-User-Account-Control-Computed
この記事の最後に、同じソリューションの概要を示します。