4

パスワードの有効期限が近づいているユーザーのリストについて、ActiveDirectoryに問い合わせる必要があります。これを行うための明白な(そして簡単な)方法は次のとおりです。

dsquery user -stalepwd n

問題は、特定のセキュリティグループに属するユーザーのみを検索するためにフィルターを追加する必要があることです。これは、-stalepwdオプションが組み込まれている「dsqueryuser」構文では実行が難しいため、LDAPクエリ構文を使用できる「dsquery*-filter」オプションを使用しています。残念ながら、LDAPクエリを使用して他のフィルターを適用するのは比較的簡単ですが、パスワードの有効期限がnを超えるユーザーをフィルター処理するのに問題があります。

「dsqueryuser-stalepwd」メソッドの代わりに「dsquery*-filter」メソッドを使用して古いパスワードをフィルタリングする構文を知っている人はいますか(または可能であれば)。

4

2 に答える 2

3

ユーザーオブジェクトのpwdLastSet属性を比較することにより、「古い」パスワードを比較するLDAPクエリを作成できます。

(&(objectClass=person)(objectClass=User)(pwdLastSet<=n))

ActiveDirectoryは、このタイムスタンプに非常に特殊な形式を使用します。ファイルタイムだと思いますが、ウェブで再確認します。

于 2008-11-18T21:40:17.887 に答える
2

dsquery よりも優れたツールがあります。

joewareの FindExpAcc は stalepwd と同じことを行い、-f スイッチによるフィルターを許可します。

フィルタは次のようになります。

&(objectCategory=user)(memberof=CN=User Group,OU=Test,DC=foo,dc=com)

Microsoft のコマンド ライン クエリ ツールよりも強力ですが、学習が少し難しい場合があるjoewareの adfind および admod ツールも確認してください。

于 2008-11-18T21:15:54.270 に答える