Abfragen von User Zertifikaten im AD

Alle Antworten

• 

  

  1

  Anmelden

  Wenn du bei der ADS Benutzer und Computerverwaltung die erweiterte Ansicht aktivierst, dann hast du bei den Eigenschaften eines jeden Benutzers einen neuen Reiter der heisst "veröffentlichte Zertifikate". Andernfalles siehst du das natürlich auf der ausstellenden Zertifizierungsstelle via Certutil oder eben per Zertifizierungsstellen MMC.

  ---

  freundliche Grüße Thomas

  Samstag, 4. April 2015 18:30

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Probiers mal so:

  accountname und domaincontroller ersetzten und evtl. noch eine Schleife drum damit alle User ausgelesen werden.

  $user1 = Get-ADUser accountname -Properties "Certificates" -Server domaincontroller
  $user1.Certificates | fl * -f
  
  $user1.Certificates | foreach {New-Object System.Security.Cryptography.X509Certificates.X509Certificate2 $_} | fl * -f

  
  Gruss Dani

  Dienstag, 7. April 2015 06:57

  Antworten

  |

  Zitieren
• 

  

  1

  Anmelden

  Hallo Thomas, hallo Dani.

  Vielen Dank für eure Antworten.
  Das Problem ist, das ich die Seriennummer des Zertifikats benötige das mit einem bestimmten Template ausgestellt wurde.

  Deswegen fällt der manuelle Eingriff weg.
  Mit Certutil habe ich bisher nicht das herausfinden können was ich benötige.
  Nämlich ein Zertifikat eines Users.

  Die Powershell variante ist mir SEHR sympathisch, hat aber leider den Nachteil, das ich die Seriennummer des Zertifikates nicht auslesen kann. Noch die Laufzeit oder von welchem Template es stammt.
  Oder habe ich einen Fehler gemacht ?

  Vielen Dank
  Markus

  Dienstag, 7. April 2015 12:22

  Antworten

  |

  Zitieren
• 

  

  1

  Anmelden

  Hallo,

  schau mal für Powershell mit Get-ChildItem https://technet.microsoft.com/en-us/library/hh847761.aspx

  ---

  Best regards

  Meinolf Weber

  MVP, MCP, MCTS

  Microsoft MVP - Directory Services

  My Blog: http://blogs.msmvps.com/MWeber

  Disclaimer: This posting is provided AS IS with no warranties or guarantees and confers no rights.

  Twitter:  

  Dienstag, 7. April 2015 12:53

  Antworten

  |

  Zitieren
• 

  

  2

  Anmelden

  Moin,

  ich würde direkt die Datenbank der CA abfragen.

  Z.Bsp:

  certutil -view -restrict "CertificateTemplate=[Name der Vorlage]" -out CommonName,upn,SerialNumber

  
  

  http://blogs.technet.com/b/pki/archive/2008/10/03/disposition-values-for-certutil-view-restrict-and-some-creative-samples.aspx

  ---

  This posting is provided AS IS with no warranties.

  Dienstag, 7. April 2015 20:06

  Antworten

  |

  Zitieren
• 

  

  1

  Anmelden

  Hi,

  ich habe das Problem so gelöst das ich die Abfrage mit QUEST mache.

  Add-PSSnapinQuest.ActiveRoles.ADManagement

  Set-QADPSSnapinSettings -DefaultSizeLimit0

  get-qaduser >ADUSER< | get-qadcertificate | where-qadcertificate -Template "Template_Nummer" | where-qadcertificate -Revoked:$false |  select IssuedTo,serialnumber,ValidFrom,ValidTo,Revoked,IssuedBy |ft

  Das funktioniert wie ich es wünsche.

  Gruß
  Markus

   

  
  

  • Als Antwort markiert Mihaela ParedesMicrosoft contingent staff, Moderator Dienstag, 21. April 2015 11:06

  Donnerstag, 9. April 2015 07:17

  Antworten

  |

  Zitieren