none
LDAP Abfrage nach einer bestimmten Kontoption RRS feed

  • Frage

  • Moin zusammen,

    ich würde gern eine LDAP Abfrage erstellen, die mir alle Benutzer herausfiltert wo die Kontooption "Do not require Kerberos Preauthentication" aktiviert ist.

    Leider bin ich dem Bereich nicht so fit. Könnte mir vll jemand helfen?

    Gruß

    Pascal Rößner

    Mittwoch, 3. November 2010 12:24

Antworten

  • > Dann bin ich froh - sonst hätte ich dein Gedächtnis mit
    > http://www.faq-o-matic.net/2009/09/24/whitepaper-ldap-filter-fr-active-directory/
    > auffrischen müssen ;-)
    Bitte, bitte... bloß nicht und ist auch nicht notwendig.
    Das Querlesen damals war schon anhand der Menge eine Geburt. ;-)

    Viele Grüße aus Mainz
    Yusuf Dikmenoglu - Microsoft MVP - Directory Services
    Blog: LDAP://Yusufs.Directory.Blog/
    Jetzt anmelden an der: AD Mailingliste
    Mittwoch, 3. November 2010 13:54
    Moderator

Alle Antworten

  • Howdie!
     
    On 03.11.2010 13:24, hmmh multimediahaus AG wrote:
    > ich würde gern eine LDAP Abfrage erstellen, die mir alle Benutzer
    > herausfiltert wo die Kontooption "Do not require Kerberos
    > Preauthentication" aktiviert ist.
    >
    > Leider bin ich dem Bereich nicht so fit. Könnte mir vll jemand helfen?
     
    Der Suchfilter für LDAP wäre (ungetestet):
    "&(objectCategory=person)(objectClass=user)(userAccountControl:1.2.840.113556.1.4.803:=4194304)"
     
    Mit welchem Tool setzt du denn die Abfrage ab?
     
    Cheers,
    Florian
     

    Microsoft MVP - Group Policy (http://www.frickelsoft.net/blog)
    Mittwoch, 3. November 2010 13:00
  • Hey Flo,

    > "&(objectCategory=person)(objectClass=user)(userAccountControl:1.2.840.113556.1.4.803:=4194304)"

    du hast nicht beachtet, dass das userAccountControl eines Benutzers bereits den Wert 512 (NORMAL_ACCOUNT) eingetragen hat.
    Demnach sollte der Wert: 4194816 lauten. Sind weitere Kontooptionen aktiviert, verändert sich natürlich der Wert.

    [Verwendung der UserAccountControl-Flags zur Bearbeitung von Benutzerkontoeigenschaften]
    http://support.microsoft.com/kb/305144/de

    @ Pascal

    Du könntest die Abfrage in der MMC "AD-Benutzer und -Computer" mit einer benutzerdefinierten gespeicherten Abfrage durchführen.
    Somit bleibt dir die Abfrage für die Zukunft erhalten.

    [LDAP://Yusufs.Directory.Blog/ - Gespeicherte Abfragen]
    http://blog.dikmenoglu.de/Gespeicherte+Abfragen.aspx


    Viele Grüße aus Mainz
    Yusuf Dikmenoglu - Microsoft MVP - Directory Services
    Blog: LDAP://Yusufs.Directory.Blog/
    Jetzt anmelden an der: AD Mailingliste
    Mittwoch, 3. November 2010 13:16
    Moderator
  • Howdie!
     
    On 03.11.2010 14:16, Yusuf Dikmenoglu wrote:
    > "&(objectCategory=person)(objectClass=user)(userAccountControl:1.2.840.113556.1.4.803:=4194304)"
    >
    > du hast nicht beachtet, dass das userAccountControl eines Benutzers
    > bereits den Wert 512 (NORMAL_ACCOUNT) eingetragen hat.
    > Demnach sollte der Wert: 4194816 lauten. Sind weitere Kontooptionen
    > aktiviert, verändert sich natürlich der Wert.
     
    Deshalb das Control :1.2.840.113556.1.4.803:, das dem logischen UND
    entspricht. Per UND-Verknüpfung fange ich alle Benutzerobjekte, die
    dieses Bit gesetzt haben - unabhängig davon, welche anderen noch gesetzt
    sind. Würde ich nur nach dem Flag suchen, hätte mein Filter so
    ausgesehen (und wäre damit nicht korrekt gewesen, wie du festgestellt
    hattest):
     
    "&(...)(...)(userAccountControl=4194304)"
     
    Cheers,
    Florian
     

    Microsoft MVP - Group Policy (http://www.frickelsoft.net/blog)
    Mittwoch, 3. November 2010 13:22
  • > Deshalb das Control :1.2.840.113556.1.4.803:,

    Ist klar, die Bedeutung des Controls ist mir durchaus bewußt, aber im Eifer des Gefechts hatte ich nur den Wert gesehen und beachtet.
    Ich hab doch gesagt, dass alles stimmt. ;-)


    Viele Grüße aus Mainz
    Yusuf Dikmenoglu - Microsoft MVP - Directory Services
    Blog: LDAP://Yusufs.Directory.Blog/
    Jetzt anmelden an der: AD Mailingliste
    Mittwoch, 3. November 2010 13:42
    Moderator
  • Hey Yusuf,
     
    On 03.11.2010 14:42, Yusuf Dikmenoglu wrote:
    > > Deshalb das Control :1.2.840.113556.1.4.803:,
    >
    > Ist klar, die Bedeutung des Controls ist mir durchaus bewußt, aber im
    > Eifer des Gefechts hatte ich nur den Wert gesehen und beachtet.
    > Ich hab doch gesagt, dass alles stimmt. ;-)
     
    Dann bin ich froh - sonst hätte ich dein Gedächtnis mit
    http://www.faq-o-matic.net/2009/09/24/whitepaper-ldap-filter-fr-active-directory/
    auffrischen müssen ;-)
     
    Cheers,
    F.
     

    Microsoft MVP - Group Policy (http://www.frickelsoft.net/blog)
    Mittwoch, 3. November 2010 13:46
  • > Dann bin ich froh - sonst hätte ich dein Gedächtnis mit
    > http://www.faq-o-matic.net/2009/09/24/whitepaper-ldap-filter-fr-active-directory/
    > auffrischen müssen ;-)
    Bitte, bitte... bloß nicht und ist auch nicht notwendig.
    Das Querlesen damals war schon anhand der Menge eine Geburt. ;-)

    Viele Grüße aus Mainz
    Yusuf Dikmenoglu - Microsoft MVP - Directory Services
    Blog: LDAP://Yusufs.Directory.Blog/
    Jetzt anmelden an der: AD Mailingliste
    Mittwoch, 3. November 2010 13:54
    Moderator
  • Danke euch beiden. Hat super geklappt.

    grüße aus bremen

    Mittwoch, 3. November 2010 14:21