問題タブ [active-directory-group]

ヘルプデスクで使用するために、HTA にラップされた小さなツールキットを構築しています。私が含めたいタスクの 1 つは、ドメイン ユーザーに関する情報をすばやく取得する機能です。さて、通常、私は次のようなものを使用Net User USERNAME /domainして、簡単な小さな宣伝文句を取得します。よく働く。

ただし、それをツールキットのスクリプトに統合する方法が見つからないようです。おそらく、cscript を使用して出力をダンプすることもできますが、その場合、対話型のもの (HTA の要点) にフォーマットするのに時間がかかります。

ADSIのようなものを本当に使いたいです。特定のグループのメンバー、または特定のユーザーのプライマリ グループを簡単に取得できますが、ドメイン上のユーザー名のすべてのメンバーシップを一覧表示する方法が見つからないようです。

すべてのグループとユーザーを取得してから比較することはできません。これは、数十万人のユーザーがいるドメイン用です。

私はこのことについて何日もグーグルで検索したことを約束します. ドキュメントなどを掘り下げましたが、本当に必要なことは何もないようです。

CVS で提供される各配布リストの所有者を検索してエクスポートする PowerShell コマンドを作成しようとしています。

現在、スクリプトはキャプチャしようとしている情報を画面に出力しますが、最後の行のみをエクスポートします。

任意の支援をいただければ幸いです。

私は初心者で、Active Directory 用に Java でクライアントを実装しようとしています。これまでのところ、次のコードを書きました。

必要なのは、ユーザーを作成して追加することだけです。

次のエラーが発生しました。

javax.naming.PartialResultException: [LDAP: エラー コード 10 - 0000202B: RefErr: DSID 031007F3、データ 0、1 アクセス ポイント

参照 1:「xyz」

]; 残りの名前 'cn=bbb ccc,ou=orgunit,dc=xyz'

ユーザー名を検証するために Active Directory に接続しましたが、AD でユーザーがアクティブか非アクティブかを知るにはどうすればよいですか?

サンプルコード:

これを使って検索しましたthis.dirContext.search(base, filter, this.searchCtls);

ユーザーがアクティブか非アクティブかを知るにはどうすればよいですか?

activeユーザー(!(useraccountcontrol:1.2.840.113556.1.4.803:=2))とdeactiveユーザー を取得するためにGoogleを見つけまし(useraccountcontrol:1.2.840.113556.1.4.803:=2)たJavaコードでこれら2つを実装する方法。

グループの groupType プロパティのSECURITY_ENABLEDフラグを読み取ろうとしています。問題は、使用して取得した値が

int32範囲は-2,147,483,647 ～ 2,147,483,648 (または -0x7FFFFFFF ～ 0x80000000) です。

そのため、GROUP_TYPE_SECURITY_ENABLEDおよびその他の調停フラグが設定されている場合は常に、数値が int32 の範囲を超え、オーバーフローが発生します。

正しい値を読み取るために、このオーバーフローを回避する方法を知っている人はいますか?

2 つの列を持つ csv があります。1 つの列は AD グループ名で、もう 1 つはユーザー アカウント名です。csv を読み取って、ユーザーを対応するグループにインポートしようとしています。

これが私がこれまでにしなければならないことです。ヘッダーが正しく指定されているため、両方の引数(identity、member)がnullであると言っていますが、これは意味がありません。

csvファイルの中身はこちら

EDITコマンドとエラー

これが私のスクリプト、受け取ったエラー、およびcsvです。

私の会社では、カスタム HMI を使用しています。この HMI は、ユーザーが希望する場合、コンピュータのドメインを使用してログインできます。これが現在解決しようとしているシナリオです

1. ユーザーがドメイン ユーザーとして Windows にログインすると、同じ Windows 資格情報を使用して HMI にログインします。すべてがスムーズに進みます。

2. ネットワーク接続がダウンし、ユーザーがコンピューターを再起動します。

3. ユーザーは、同じドメイン ログオンを使用する前と同じように Windows にログインできます (これを許可する Windows キャッシュ ユーザーを使用)。

4. ユーザーが HMI にログインしようとしましたが、これらのキャッシュされた Active Directory ユーザーにアクセスする方法がわからなかったため、ログインできませんでした。

ユーザーが HMI へのログインを許可されているグループのメンバーであるかどうかを検出するために、現在使用しているコードを次に示します。これらのグループは SQL データベースに保存されSERVER\BUILDER、たとえば次のように文字列として保存されます。

問題は、ユーザーがドメインに接続していないときにIsInRoleメソッドで例外が発生することです。メソッドのオーバーロードを調べて、リテラル String の代わりに user.Group に相当する SID を使用してみました。これは機能しているように見えますが、別の問題が発生します。ユーザーがネットワークに接続していない場合、グループ名 (SQL の文字列) をこれらの SID に変換できません。

私の現在の回避策は、ユーザーがドメインに接続しているときに、SID とグループをルックアップ テーブル (暗号化) に保存し、ネットワークが接続されていないときに、データベースからグループ名を取得し、文字通り SID をルックアップすることです。テーブル内の文字列。

グループ名をSIDに変換するために使用しているコードは次のとおりです

次に、グループ名を次のように検索します

ネットワーク上にないときにグループ名を SID に変換できない理由はIdentityReference.Translate、ドメインを認識できないために が例外をスローするためです。

最後に、このすべての説明の後、ここに私が探しているものがあります。グループ名から SID を取得するには、どこかにアクセスできる必要があると考えています。Windows はそれをどこかに保存する必要があるためです。そうしないと、ネットワークに接続していないときに Windows にログインできません。

私は多くの検索を行いましたが、これらのキャッシュされた資格情報がどこに保存されているかを突き止めることができませんでした. 私が十分に明確でない場合はお知らせください。できる限り説明します。

SAMAccountName を知っているので、ディレクトリ全体でこのユーザーのグループ メンバーシップを反映するエントリをグループのリストに入力したいと考えています。これが私のスタートですが、私は困惑しています：

これを横断する方法がわかりません。どうぞ、何か指針はありますか？

JaasAuthenticationPlugin を使用して、特定のキューにアクセスしようとしているユーザーを認証しようとしています。(私のコードのほとんどは、ActiveMQ in Action で与えられた例に基づいています)

最終的に、名前にスペースが含まれるグループが含まれている可能性のある Active Directory サーバーに対して認証を行いたいのですが、名前にスペースが含まれるグループを使用しようとすると、問題が発生します。私がこれまでに持っているもの：

login.config:

ユーザーのプロパティ:

グループのプロパティ:

activemq.xml:

これは問題なく動作しますが、「users」の代わりに「Users Group」を使用しようとすると、次のようになります。

スペースを含むグループ名は ActiveMQ または JAAS でサポートされていませんか? どういうわけかスペースをエスケープする必要がありますか?

AD 配布グループにメンバーを追加したいと考えています。次のコマンドを入力します (いくつかの場所にダミーの値を入力します)。

ファイル「entrymods」には以下が含まれます。

次の出力が得られます。