none
get-qadpasswordsettingsobject - How to find users with reversible password setting

Odpovědi

  • Tento script funguje:

    --

    On Error Resume Next

    Dim oFilesys, oFiletxt, sFilename, sPath
    Set oFilesys = CreateObject("Scripting.FileSystemObject")
    Set oFiletxt = oFilesys.CreateTextFile("c:\dump.txt", True)
    sPath = oFilesys.GetAbsolutePathName("c:\dump.txt")
    sFilename = oFilesys.GetFileName(sPath)

    Set objConnection = CreateObject("ADODB.Connection")
    Set objCommand =   CreateObject("ADODB.Command")
    objConnection.Provider = "ADsDSOObject"
    objConnection.Open "Active Directory Provider"
    Set objCommand.ActiveConnection = objConnection

    objCommand.Properties("Page Size") = 10000
    objCommand.Properties("Searchscope") = ADS_SCOPE_SUBTREE

    objCommand.CommandText = _
        "<LDAP://DC=domena,DC=local>;(&(objectCategory=User)" & _
            "(userAccountControl:1.2.840.113556.1.4.803:=128 ));Name;Subtree"

    Set objRecordSet = objCommand.Execute

    objRecordSet.MoveFirst
    Do Until objRecordSet.EOF
        oFiletxt.WriteLine objRecordSet.Fields("name").Value
        
    objRecordSet.MoveNext
    Loop

    oFiletxt.Close'

    --

    Do souboru C:\dump.txt se vyexportuji uzivatele kteri maji nastaveno ENCRYPTED_TEXT_PWD_ALLOWED. Ze jsou to prave oni je dano hodnotou 128 na radku:

         "(userAccountControl:1.2.840.113556.1.4.803:=128 ));Name;Subtree"

    O hodnotach je vice zde: http://support.microsoft.com/kb/305144/en-us .

     

    • Označen jako odpověď Liibas čtvrtek 17. února 2011 16:21
    středa 16. února 2011 20:32
  • Tak jsem to prepsal do powershellu a funguje to OK. Jinak Diky Jirkovi za "userAccountControl:1.2.840.113556.1.4.803:=128" to me nakoplo. jinak ten vbs script je ok, ale mam pocit zda tam nema byt pred LDAP [ADSI]

     

    $Search = New-Object DirectoryServices.DirectorySearcher([ADSI]“”)

    $Search.filter = “(&(objectClass=user)(userAccountControl:1.2.840.113556.1.4.803:=128))”

    $Search.PageSize = 100000

     

    [void]$Search.PropertiesToLoad.Add(“cn”);

    [void]$Search.PropertiesToLoad.Add(“Description”);

    $results = $Search.Findall()

     

    $results | select @{e={$_.properties.cn};n=’name’},@{e={$_.properties.description};n=’description’} | Out-File -FilePath C:\users.txt


    Liibas
    • Označen jako odpověď Liibas čtvrtek 17. února 2011 16:21
    čtvrtek 17. února 2011 16:21

Všechny reakce

  • Ahoj,

    o kolik se jedná uživatelů? Doména má jakou úroveň. Jaký je to server?

    středa 16. února 2011 10:16
  • Ahoj,

    jedna se o Server 2008 DC R2 - uzivatelu jsou rekneme tisice, potrebuji prohledat celou strukturu, je potrebuji nakopnout jak a ktere hodnoty predavat

     

    Diky za info


    Liibas
    středa 16. února 2011 10:20
  • Tento script funguje:

    --

    On Error Resume Next

    Dim oFilesys, oFiletxt, sFilename, sPath
    Set oFilesys = CreateObject("Scripting.FileSystemObject")
    Set oFiletxt = oFilesys.CreateTextFile("c:\dump.txt", True)
    sPath = oFilesys.GetAbsolutePathName("c:\dump.txt")
    sFilename = oFilesys.GetFileName(sPath)

    Set objConnection = CreateObject("ADODB.Connection")
    Set objCommand =   CreateObject("ADODB.Command")
    objConnection.Provider = "ADsDSOObject"
    objConnection.Open "Active Directory Provider"
    Set objCommand.ActiveConnection = objConnection

    objCommand.Properties("Page Size") = 10000
    objCommand.Properties("Searchscope") = ADS_SCOPE_SUBTREE

    objCommand.CommandText = _
        "<LDAP://DC=domena,DC=local>;(&(objectCategory=User)" & _
            "(userAccountControl:1.2.840.113556.1.4.803:=128 ));Name;Subtree"

    Set objRecordSet = objCommand.Execute

    objRecordSet.MoveFirst
    Do Until objRecordSet.EOF
        oFiletxt.WriteLine objRecordSet.Fields("name").Value
        
    objRecordSet.MoveNext
    Loop

    oFiletxt.Close'

    --

    Do souboru C:\dump.txt se vyexportuji uzivatele kteri maji nastaveno ENCRYPTED_TEXT_PWD_ALLOWED. Ze jsou to prave oni je dano hodnotou 128 na radku:

         "(userAccountControl:1.2.840.113556.1.4.803:=128 ));Name;Subtree"

    O hodnotach je vice zde: http://support.microsoft.com/kb/305144/en-us .

     

    • Označen jako odpověď Liibas čtvrtek 17. února 2011 16:21
    středa 16. února 2011 20:32
  • Diky moc za script.

    Bohuzel to neni ono. Potrebuji vypsat uzivatele kteri maji zatrzenou volbu "Store password using reversible encrypt", v account options. nevim, jak k temo hodnotam pristupovat. Mam pocit, ze nejak pres "msDS-*PSO" v powershellu ale nevim urcite.


    Liibas
    čtvrtek 17. února 2011 5:03
  • Zkoušel jsi to? ENCRYPTED_TEXT_PWD_ALLOWED je právě ta volba Store password using reversible encrypt v nastavení účtu.

    JS
    čtvrtek 17. února 2011 8:27
  • Samozrejme, ale vypis je prazdny i kdyz vim o uzivatelich kteri tuto volbu maji zatrzenou
    Liibas
    čtvrtek 17. února 2011 10:01
  • Script ani nic neprovadi, zadne hledani, proste jen start a hned konec, vytvori dump bez uzivatelu. Ja vbs moc nedavam, jinak bych se v tom porypal. Zkusim to prepsat do PS, ale pokud by uz to nekdo byl, bylo by to ok.

     


    Liibas
    čtvrtek 17. února 2011 10:16
  • V tom scriptu je potřeba upravit DC=domena,DC=local, to proběhlo?
    čtvrtek 17. února 2011 14:19
  • Samozrejme, v mem pripade je to DC=europe,DC=trase,DC=com a jinak jsem to testoval i na DC=contoso,DC=com test domena a nic :)
    Liibas
    čtvrtek 17. února 2011 14:22
  • Tak jsem to prepsal do powershellu a funguje to OK. Jinak Diky Jirkovi za "userAccountControl:1.2.840.113556.1.4.803:=128" to me nakoplo. jinak ten vbs script je ok, ale mam pocit zda tam nema byt pred LDAP [ADSI]

     

    $Search = New-Object DirectoryServices.DirectorySearcher([ADSI]“”)

    $Search.filter = “(&(objectClass=user)(userAccountControl:1.2.840.113556.1.4.803:=128))”

    $Search.PageSize = 100000

     

    [void]$Search.PropertiesToLoad.Add(“cn”);

    [void]$Search.PropertiesToLoad.Add(“Description”);

    $results = $Search.Findall()

     

    $results | select @{e={$_.properties.cn};n=’name’},@{e={$_.properties.description};n=’description’} | Out-File -FilePath C:\users.txt


    Liibas
    • Označen jako odpověď Liibas čtvrtek 17. února 2011 16:21
    čtvrtek 17. února 2011 16:21