問題タブ [adsi]

私の質問は、ADSIがSetPassword操作を実行する方法です。私が読んだことによると、ADSIはCOMインターフェースであり、ADがLDAPを介して提供するよりも多くの機能を備えています。LDAP を介して personaccount エンティティの unicodePwd 属性を更新する場合、ADSI は SetPassword 呼び出しを提供します。認証中にADSIとADがKerberosを提供することを知っています。では、SetPassword が呼び出されたときに、パスワードはどのようにサーバーに送信されるのでしょうか? 生のバイナリ暗号化されていないデータですか? それとも、ケルベロスがこの電話に出てくるのでしょうか?

Active Directory のユーザーの場合、プロパティには lastlogontime と lastlogontimestamp の値が保持されますが、logoncount は 0 です。そのドメインにはドメイン コントローラーが 1 つしかありません。

サーフィンから、logonCount 値 0 は、値が不明であることを示していることがわかりました。しかし、なぜそれが不明なのか、私は完全に混乱しています。それはADの問題ですか？

ローカル マシンまたはリモートで実行されている一連の Windows サービスを監視および制御する必要があります。私は WMI と ADSI について聞いたことがありますが、最初のものは私が望むことをしているようです。深く掘り下げる前に、正しい方向に進んでいるかどうかを確認したいだけですか？

ありがとうございました

EDIT 追加情報：SQLジョブとIISインスタンスも検査する必要があるため、WMIが必要だと思います。

WMIを使用してIISWebVirtualDirまたはIISWebVirtualDirSettingを作成できますが、仮想ディレクトリをIISアプリケーションに変換する方法が見つかりません。仮想ディレクトリには、AppFriendlyNameとPathが必要です。それらは...Settingオブジェクトの一部であるため、これは簡単です。ただし、仮想ディレクトリをアプリに変換するには、AppIsolated=2およびAppRoot=[そのルート]を設定する必要があります。

WMIではこれを行うことはできません。ADSIとWMIを混在させたくないので、誰かがWMIでこれを実現するように指導してくれれば、とてもうれしいです。

これが私のデモコードです：

何かご意見は？

動作するコードで更新する

ギャレットとグレンに感謝します。

LastPasswordSetMicrosoftActiveDirectoryでユーザーの属性を設定したい。

.NET UserPrincipalAPIは、LastPasswordSetプロパティを読み取り専用として公開します。

これを回避する方法はありますか（おそらくADSIを使用して）値を設定しますか？

編集：

MSDNは、次のサンプルコードを提供しています。

これにより、ユーザーは次回のログオン時にパスワードを変更する必要があります。-1を関連する形式の日時に置き換えると、これで希望どおりの結果が得られると思います。

ただし、プリンシパルを取得する方法は示されていません（おそらくusr）。私はこれを見つけるのに役立つものなら何でも賛成します。

CSV（または他のデータセットを読み取りますが、その側は投稿しません）から読み取り、AD環境でユーザーを作成するスクリプトを作成しました。

基本的に、スクリプトに渡されたデータセットはすべて処理され、存在しない場合はユーザーが作成されます。ユーザーがすでにADに存在する場合、スクリプトはエントリをスキップします。これはCREATE専用のスクリプトです。

かなり遅いので、機能性を保ちながらパフォーマンスを向上させたいと思います。これをより良くするためのヒントを教えてください。

あなたが提供できるどんな助けにも前もって感謝します。

開発者が別のプロジェクトで作業するために環境を切り替えるときに、仮想ディレクトリへのパスを設定するために使用するvbscriptコードがいくつかあります。現在、パスを設定しようとしていますが、エラーが発生した場合は作成します。変なにおいがします。仮想ディレクトリが存在するかどうかを確認する方法はありますか？そうでない場合は、それを作成しますか？

これは問題なく機能しますが、何かが私に教えてくれます。もっと良い方法があるはずです。誰か提案はありますか？仮想ディレクトリの存在を確認するにはどうすればよいですか？フィードバックをいただければ幸いです。

ポインタをありがとう。
乾杯、
サンディエゴで〜ck

サイトで情報を検索したところ、 ASP.NET C# Active Directory - ユーザーのパスワードの有効期限が切れるまでの時間を確認してください。

これは、ドメイン ポリシーに従ってパスワードの有効期限が切れたときの値を取得する方法を説明しています。

私の質問は次のとおりです。ドメイン グループ ポリシーで指定された値を上書きして、別の MaxPasswordAge 値を持つ OU グループ ポリシーをユーザーが持っている場合はどうなりますか? OU のグループ ポリシー オブジェクトをプログラムで取得する方法

編集:この質問をもう少し明確にするために、この編集を追加します。私が求めているのは、ユーザーのパスワードの有効期限がいつ切れるかを知ることです。私が理解している限り、日付の値はドメインのローカル ポリシーまたはグループ オブジェクト ポリシーのいずれかによって管理できます。Linq を Ldap クエリに変換する Linq2DirectoryService プロバイダーがあります。したがって、日付の有効期限の値を取得するための LDAP クエリは、このサブジェクトに最適です。.net でサポートされているオブジェクト ラッパーがこの式に含まれていると回答した場合、それは完全に回答になります。

グループにネストされたグループが含まれている場合、Perl を使用して、Windows ユーザーが Windows グループのメンバーであるかどうかを判断しようとしています。

を使用してみましWin32::NetAdmin::GroupIsMember()たが、ユーザーがグループの直接のメンバーである場合にのみ機能します。

私は AD や LDAP の専門家ではありませんが、Google で調べた例では同じ動作を示しています。

たとえば、ユーザー「joe」はグループ「A」のメンバーです。グループ「A」はグループ「B」のメンバーです。joe が「B」のメンバーであるかどうかをテストしたいと思います。

.NET System.DirectoryServices 名前空間を使用して、開発中のアクティブ ディレクトリ サーバーに新しいユーザーを作成しようとしています。

次のコードを使用してみます。

私も使用してコミットしようとしました

Invoke を呼び出してパスワードを設定する前に。私は常に TargetInvocationException ラッピングを取得します。

例外は常に呼び出したときにのみスローされます

SetPassword で Invoke を呼び出す前に newUser.CommitChanges() を呼び出すと、新しいユーザーがドメインに作成されます。その後、手動で AD マシンに移動し、同じパスワードを問題なく設定できます (したがって、パスワード文字列が規則に違反していても問題ありません)。これについてオンラインで多くの投稿があることに気付きましたが、解決策が見つかりませんでした。

コードを実行しているマシンがドメインのメンバーではないという事実と関係があるのではないかと思います。ユーザー TESTDOM\Administrator は、TESTDOM ドメインの管理者、ドメイン管理者、スキーマ管理者、およびエンタープライズ管理者グループのメンバーですが。

.NET 2 を使用しているため、System.DirectoryServices.AccountManagement 名前空間を使用できないことに注意してください。これを解決するために何ができるかについてのアイデアはありますか? 私は必死です