Benutzer mit den meisten Antworten
Abfragen von User Zertifikaten im AD

Frage
-
Hallo,
ich möchte die Zertifikate der User abfragen.Es sind Zertifikate für User für Logon und FileEncyption und weitere für andere Dinge.
Nun muss ich die Seriennummer des Logon und FileEncryption Zertifikats herausfinden.
Hat jemand eine Idee wie ich das machen kann.
Ich habe mir Certutil angeschaut. Hier finde ich auch ne menge raus.
Aber ich habe nicht gefunden wie man die Zertifikate des User auslesen kann.Deswegen die Frage hier im Forum.
Vielen Dank
Markus
Antworten
-
Hi,
ich habe das Problem so gelöst das ich die Abfrage mit QUEST mache.
Add-PSSnapinQuest.ActiveRoles.ADManagement
Set-QADPSSnapinSettings -DefaultSizeLimit0
get-qaduser >ADUSER< | get-qadcertificate | where-qadcertificate -Template "Template_Nummer" | where-qadcertificate -Revoked:$false | select IssuedTo,serialnumber,ValidFrom,ValidTo,Revoked,IssuedBy |ft
Das funktioniert wie ich es wünsche.
Gruß
Markus
- Als Antwort markiert Mihaela ParedesMicrosoft contingent staff, Moderator Dienstag, 21. April 2015 11:06
Alle Antworten
-
Wenn du bei der ADS Benutzer und Computerverwaltung die erweiterte Ansicht aktivierst, dann hast du bei den Eigenschaften eines jeden Benutzers einen neuen Reiter der heisst "veröffentlichte Zertifikate". Andernfalles siehst du das natürlich auf der ausstellenden Zertifizierungsstelle via Certutil oder eben per Zertifizierungsstellen MMC.
freundliche Grüße Thomas
-
Probiers mal so:
accountname und domaincontroller ersetzten und evtl. noch eine Schleife drum damit alle User ausgelesen werden.
$user1 = Get-ADUser accountname -Properties "Certificates" -Server domaincontroller $user1.Certificates | fl * -f $user1.Certificates | foreach {New-Object System.Security.Cryptography.X509Certificates.X509Certificate2 $_} | fl * -f
Gruss Dani -
Hallo Thomas, hallo Dani.
Vielen Dank für eure Antworten.
Das Problem ist, das ich die Seriennummer des Zertifikats benötige das mit einem bestimmten Template ausgestellt wurde.Deswegen fällt der manuelle Eingriff weg.
Mit Certutil habe ich bisher nicht das herausfinden können was ich benötige.
Nämlich ein Zertifikat eines Users.Die Powershell variante ist mir SEHR sympathisch, hat aber leider den Nachteil, das ich die Seriennummer des Zertifikates nicht auslesen kann. Noch die Laufzeit oder von welchem Template es stammt.
Oder habe ich einen Fehler gemacht ?Vielen Dank
Markus -
Hallo,
schau mal für Powershell mit Get-ChildItem https://technet.microsoft.com/en-us/library/hh847761.aspx
Best regards
Meinolf Weber
MVP, MCP, MCTS
Microsoft MVP - Directory Services
My Blog: http://blogs.msmvps.com/MWeberDisclaimer: This posting is provided AS IS with no warranties or guarantees and confers no rights.
Twitter: -
Moin,
ich würde direkt die Datenbank der CA abfragen.
Z.Bsp:
certutil -view -restrict "CertificateTemplate=[Name der Vorlage]" -out CommonName,upn,SerialNumber
This posting is provided AS IS with no warranties.
-
Hi,
ich habe das Problem so gelöst das ich die Abfrage mit QUEST mache.
Add-PSSnapinQuest.ActiveRoles.ADManagement
Set-QADPSSnapinSettings -DefaultSizeLimit0
get-qaduser >ADUSER< | get-qadcertificate | where-qadcertificate -Template "Template_Nummer" | where-qadcertificate -Revoked:$false | select IssuedTo,serialnumber,ValidFrom,ValidTo,Revoked,IssuedBy |ft
Das funktioniert wie ich es wünsche.
Gruß
Markus
- Als Antwort markiert Mihaela ParedesMicrosoft contingent staff, Moderator Dienstag, 21. April 2015 11:06