none
Abfragen von User Zertifikaten im AD RRS feed

  • Frage

  • Hallo,
    ich möchte die Zertifikate der User abfragen.

    Es sind Zertifikate für User für Logon und FileEncyption und weitere für andere Dinge.

    Nun muss ich die Seriennummer des Logon und FileEncryption Zertifikats herausfinden.

    Hat jemand eine Idee wie ich das machen kann.

    Ich habe mir Certutil angeschaut. Hier finde ich auch ne menge raus.
    Aber ich habe nicht gefunden wie man die Zertifikate des User auslesen kann.

    Deswegen die Frage hier im Forum.

    Vielen Dank
    Markus

    Samstag, 4. April 2015 15:42

Antworten

  • Hi,

    ich habe das Problem so gelöst das ich die Abfrage mit QUEST mache.

    Add-PSSnapinQuest.ActiveRoles.ADManagement

    Set-QADPSSnapinSettings -DefaultSizeLimit0

    get-qaduser >ADUSER< | get-qadcertificate | where-qadcertificate -Template "Template_Nummer" | where-qadcertificate -Revoked:$false |  select IssuedTo,serialnumber,ValidFrom,ValidTo,Revoked,IssuedBy |ft

    Das funktioniert wie ich es wünsche.

    Gruß
    Markus

     


    Donnerstag, 9. April 2015 07:17

Alle Antworten

  • Wenn du bei der ADS Benutzer und Computerverwaltung die erweiterte Ansicht aktivierst, dann hast du bei den Eigenschaften eines jeden Benutzers einen neuen Reiter der heisst "veröffentlichte Zertifikate". Andernfalles siehst du das natürlich auf der ausstellenden Zertifizierungsstelle via Certutil oder eben per Zertifizierungsstellen MMC.

    freundliche Grüße Thomas

    Samstag, 4. April 2015 18:30
  • Probiers mal so:

    accountname und domaincontroller ersetzten und evtl. noch eine Schleife drum damit alle User ausgelesen werden.

    $user1 = Get-ADUser accountname -Properties "Certificates" -Server domaincontroller
    $user1.Certificates | fl * -f
    
    $user1.Certificates | foreach {New-Object System.Security.Cryptography.X509Certificates.X509Certificate2 $_} | fl * -f

    Gruss Dani

    Dienstag, 7. April 2015 06:57
  • Hallo Thomas, hallo Dani.

    Vielen Dank für eure Antworten.
    Das Problem ist, das ich die Seriennummer des Zertifikats benötige das mit einem bestimmten Template ausgestellt wurde.

    Deswegen fällt der manuelle Eingriff weg.
    Mit Certutil habe ich bisher nicht das herausfinden können was ich benötige.
    Nämlich ein Zertifikat eines Users.

    Die Powershell variante ist mir SEHR sympathisch, hat aber leider den Nachteil, das ich die Seriennummer des Zertifikates nicht auslesen kann. Noch die Laufzeit oder von welchem Template es stammt.
    Oder habe ich einen Fehler gemacht ?

    Vielen Dank
    Markus

    Dienstag, 7. April 2015 12:22
  • Hallo,

    schau mal für Powershell mit Get-ChildItem https://technet.microsoft.com/en-us/library/hh847761.aspx


    Best regards

    Meinolf Weber

    MVP, MCP, MCTS

    Microsoft MVP - Directory Services

    My Blog: http://blogs.msmvps.com/MWeber

    Disclaimer: This posting is provided AS IS with no warranties or guarantees and confers no rights.

    Twitter:  

    Dienstag, 7. April 2015 12:53
  • Moin,

    ich würde direkt die Datenbank der CA abfragen.

    Z.Bsp:

    certutil -view -restrict "CertificateTemplate=[Name der Vorlage]" -out CommonName,upn,SerialNumber

    http://blogs.technet.com/b/pki/archive/2008/10/03/disposition-values-for-certutil-view-restrict-and-some-creative-samples.aspx


    This posting is provided AS IS with no warranties.

    Dienstag, 7. April 2015 20:06
  • Hi,

    ich habe das Problem so gelöst das ich die Abfrage mit QUEST mache.

    Add-PSSnapinQuest.ActiveRoles.ADManagement

    Set-QADPSSnapinSettings -DefaultSizeLimit0

    get-qaduser >ADUSER< | get-qadcertificate | where-qadcertificate -Template "Template_Nummer" | where-qadcertificate -Revoked:$false |  select IssuedTo,serialnumber,ValidFrom,ValidTo,Revoked,IssuedBy |ft

    Das funktioniert wie ich es wünsche.

    Gruß
    Markus

     


    Donnerstag, 9. April 2015 07:17