none
Active Directory

    Dotaz

  • Prosím existuje nějaký dotaz abych mohl vypsat uživatele AD, kteří mají platná hesla? Chtěl bych právě jenom aby se uživatel hlásil svou novou čipovou kartu.

    Děkuji

    29. července 2011 10:54

Odpovědi

  • Tak jsem to prepsal uplne jinak, vyzkousel a funguje mi to. Vypise to datum a plnou cestu k uzivateli, ktery ma expirovany ucet. Podminkou je pritomnost zavedeneho modulu pro AD (jako administrator). Skript muzete pouzit primo, pokud je to to, co jste potreboval, nebo bude predlohou pro dalsi upravy:

     

    $ou = [adsi]"LDAP://ou=MANAGERS,ou=HAWAII,ou=PEOPLE,dc=NTCOMPANY,dc=COM"                       

    $search = [System.DirectoryServices.DirectorySearcher]$ou            

    $search.Filter = "(&(objectclass=user)(objectcategory=user))"            

    $search.SizeLimit = 1000

    $today = get-date            

    $results = $search.FindAll()            

    foreach ($result in $results){            

    $target = $result.GetDirectoryEntry()            

    $date = $target.AccountExpirationDate

    IF ($today -gt $date) {$date, $target}

    }

     

     

     

     


    29. července 2011 14:44
    Moderátor
  • V AD je u uzivatele priznak "SmartCard is required for interactive logon". Proste ho nahodte a o heslo se nestarejte. Od te doby se MUSI prihlasit certifikatem z cipovky.

    Muzete delat pro jednotlivce v AD Users and Computers, nebo pouzit GPO.


    29. července 2011 15:34
  • Zdravim,

    dovolim si par poznamok k vyssie uvedenym reakciam. Myslim ich len ako dodatocne informacie, nic viac.

    Kedze ide o Windows Server 2003 :

     

    ad1.) Prikaz Get-QADuser je sucastou balika "ActiveRoles Management Shell for AD" od spolocnosti Quest Software :
    http://www.quest.com/powershell/activeroles-server.aspx

    Nie je teda sucastou instalacie ani Windows Server 2003, ani sucastou instalacie PowerShell v1 ci v2 pre Windows Server 2003.

     

    ad2.) Existuje Active Directory modul pre PowerShell v2 priamo od spolocnosti Microsoft. Tento modul je vsak mozne nainstalovat len na Windows Server 2008 R2 alebo Windows 7 (http://technet.microsoft.com/en-us/library/dd378783(WS.10).aspx - The Active Directory module can be installed only on computers that are running Windows Server 2008 R2. The Active Directory module cannot be installed on computers running Windows 2000, Windows Server 2003, or Windows Server 2008.) Je ale mozne ovladat i "starsie" AD prostredie pomocou tohto modulu, je vsak nutne na "starsie", t.j. pre-Windows Server 2008 R2 domenove radice nainstalovat Active Directory Management Gateway Service (http://www.microsoft.com/download/en/details.aspx?displayLang=en&id=2852).

     

    ad3.) Na vyhladanie (expirovanych) uzivatelov s neplatnym heslom / uzamknutym uctom staci pouzit konzolu Active Directory Users and Computers a jej Saved Queries - http://www.petri.co.il/saved_queries_in_windows_2003_dsa.htm , http://www.petri.co.il/ldap_search_samples_for_windows_2003_and_exchange.htm , http://www.windowsecurity.com/articles/using-saved-queries.html.

     

    ad4.) Kvantum vybornych skriptov, resp. napadov na skripty najdete na strankach Microsoft Script Center Repository - http://gallery.technet.microsoft.com/ScriptCenter/.
    Vzhladom na to, ze mate Windows Server 2003, s prehladom vyuzijete i klasicke VBS (mozno je to aj vhodnejsie, nez mozno ziskate schvalenie instalacie PowerShell - napr. v silne zabezpecenom prostredi). Stale ale mi v tomto pripade pride jednoduchsi bod 3.

     

    ad5.) Vzhladom na Vase zadanie si dovolim plne suhlasit s panom Tiserom - zapnite pre uzivatelov bud selektivne, alebo prostrednictvom GPO polozku "Smart Card is required for interactive logon" a mate vyriesene. Pozrite tiez sem :
    http://social.technet.microsoft.com/Forums/en-US/winserverDS/thread/69296b8d-0750-4188-8843-4bf7265e90a1

     

     

    Boris.


    29. července 2011 16:47

Všechny reakce

  • Co znamena platne heslo? Ze neni po lhute expirace? Nebo ze ucet neni zablokovany?

    Jakou souvislost s tim ma ji cipove karty? Jakym zpusobem se maji uzivatele prihlasovat?

    Chcete-li dobrou odpoved, je dobre dat vic iinformaci o konfiguraci systemu.

    29. července 2011 11:05
    Moderátor
  • konfigurace :

    Sever 2003

    -----------------------

    Uživatel má čipovou kartu, ale do PC se hlásí pomocí svého hesla. Uživatel se má přihlašovat pomocí čipové karty ( Interaktivní přihlášení jen s čipovou kartou).

    Platné heslo znamená, že uživatel má heslo platné, není prošlé a uživatel je aktivní.

    Děkuji

    29. července 2011 11:09
  • Mozna tohle (PS)

    Get-QADUser -Enabled -SizeLimit 0 | where {-not $_.AccountIsExpired}

    29. července 2011 11:23
    Moderátor
  • Bohužel se toto nepovedlo! "není platný řetězec dotazu"

     

     

    29. července 2011 11:37
  • DD,

    a spoušíte to v PowerShelu?

    Jak přesně postupujete a kdy to napíše chybu?


    JCH
    29. července 2011 12:11
  • Tak jsem to prepsal uplne jinak, vyzkousel a funguje mi to. Vypise to datum a plnou cestu k uzivateli, ktery ma expirovany ucet. Podminkou je pritomnost zavedeneho modulu pro AD (jako administrator). Skript muzete pouzit primo, pokud je to to, co jste potreboval, nebo bude predlohou pro dalsi upravy:

     

    $ou = [adsi]"LDAP://ou=MANAGERS,ou=HAWAII,ou=PEOPLE,dc=NTCOMPANY,dc=COM"                       

    $search = [System.DirectoryServices.DirectorySearcher]$ou            

    $search.Filter = "(&(objectclass=user)(objectcategory=user))"            

    $search.SizeLimit = 1000

    $today = get-date            

    $results = $search.FindAll()            

    foreach ($result in $results){            

    $target = $result.GetDirectoryEntry()            

    $date = $target.AccountExpirationDate

    IF ($today -gt $date) {$date, $target}

    }

     

     

     

     


    29. července 2011 14:44
    Moderátor
  • Děkuji moc....V pondělí v práci vyzkouším....

    29. července 2011 15:31
  • V AD je u uzivatele priznak "SmartCard is required for interactive logon". Proste ho nahodte a o heslo se nestarejte. Od te doby se MUSI prihlasit certifikatem z cipovky.

    Muzete delat pro jednotlivce v AD Users and Computers, nebo pouzit GPO.


    29. července 2011 15:34
  • Zdravim,

    dovolim si par poznamok k vyssie uvedenym reakciam. Myslim ich len ako dodatocne informacie, nic viac.

    Kedze ide o Windows Server 2003 :

     

    ad1.) Prikaz Get-QADuser je sucastou balika "ActiveRoles Management Shell for AD" od spolocnosti Quest Software :
    http://www.quest.com/powershell/activeroles-server.aspx

    Nie je teda sucastou instalacie ani Windows Server 2003, ani sucastou instalacie PowerShell v1 ci v2 pre Windows Server 2003.

     

    ad2.) Existuje Active Directory modul pre PowerShell v2 priamo od spolocnosti Microsoft. Tento modul je vsak mozne nainstalovat len na Windows Server 2008 R2 alebo Windows 7 (http://technet.microsoft.com/en-us/library/dd378783(WS.10).aspx - The Active Directory module can be installed only on computers that are running Windows Server 2008 R2. The Active Directory module cannot be installed on computers running Windows 2000, Windows Server 2003, or Windows Server 2008.) Je ale mozne ovladat i "starsie" AD prostredie pomocou tohto modulu, je vsak nutne na "starsie", t.j. pre-Windows Server 2008 R2 domenove radice nainstalovat Active Directory Management Gateway Service (http://www.microsoft.com/download/en/details.aspx?displayLang=en&id=2852).

     

    ad3.) Na vyhladanie (expirovanych) uzivatelov s neplatnym heslom / uzamknutym uctom staci pouzit konzolu Active Directory Users and Computers a jej Saved Queries - http://www.petri.co.il/saved_queries_in_windows_2003_dsa.htm , http://www.petri.co.il/ldap_search_samples_for_windows_2003_and_exchange.htm , http://www.windowsecurity.com/articles/using-saved-queries.html.

     

    ad4.) Kvantum vybornych skriptov, resp. napadov na skripty najdete na strankach Microsoft Script Center Repository - http://gallery.technet.microsoft.com/ScriptCenter/.
    Vzhladom na to, ze mate Windows Server 2003, s prehladom vyuzijete i klasicke VBS (mozno je to aj vhodnejsie, nez mozno ziskate schvalenie instalacie PowerShell - napr. v silne zabezpecenom prostredi). Stale ale mi v tomto pripade pride jednoduchsi bod 3.

     

    ad5.) Vzhladom na Vase zadanie si dovolim plne suhlasit s panom Tiserom - zapnite pre uzivatelov bud selektivne, alebo prostrednictvom GPO polozku "Smart Card is required for interactive logon" a mate vyriesene. Pozrite tiez sem :
    http://social.technet.microsoft.com/Forums/en-US/winserverDS/thread/69296b8d-0750-4188-8843-4bf7265e90a1

     

     

    Boris.


    29. července 2011 16:47
  • To je pekne doplneni. Vsimnete si ale, ze v puvodnim dotazu neni uvedeny operacni system. Snazil  jsem se nasmerovat tazatele na PS. Pokud prikaz nefungoval, stacilo jej zadat do vyhledavace a dostal by odpoved smerujici na Quest. 

    V duchu puvodniho dotazu jsem odzkousel skript na W 2008 R2 a uvedl ho, az fungoval.

    Z hlediska bezpecnosti muze mit prihlasovani vic urovni. Uzivatel se muze prihlasovat kartou i heslem. Tam, kde o neco opravdu jde, bych prihlasovani neredukoval jen na kartu. S kartou se pri redukovanem prihlasovani muze prihlasit kdokoliv, kdo se ke karte dostane. 

     

    31. července 2011 9:34
    Moderátor