none
Scadenza Account non scade RRS feed

  • Domanda

  • Salve a tutti,

    in un dominio con due server Win server 2003 e win server 2008 r2 negli ultimi mesi quando vado ad impostare una scadenza ad un account (non una password),  di solito due mesi prima, questo non scade. normalmente me ne accorgo molto dopo e sono costretto a ripassarmi tutti gli utenti per verificare chi dovrebbe essere scaduto e chi no. 

    Fino ad almeno sei mesi fa tutto funzionava bene.

    Ho cercato un po di "letteratura" ma non sono riuscito a trovare nulla.

    Sapreste darmi qualche indicazione di dove "frugare" per poter risolvere il problema?

    Grazie Infinite

    Antonello 

    venerdì 28 settembre 2012 14:17

Risposte

Tutte le risposte

  • Se ti può aiutare questo serve per cercare più velocemente chi è "scaduto"

    dsquery user -samid "*" -limit 0 | dsget user -acctexpires -samid


    Gastone Canali >http://www.armadillo.it

    Se alcuni post rispondono al tuo quesito (non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili . GRAZIE!


    venerdì 28 settembre 2012 16:09
    Moderatore
  • Ciao, utilizzi lo snap-in utenti e computer di Active Directory per impostare la scadenza dell'account? Quando esegui la modifica l'attributo Account-Expires dell'oggetto account riporta effettivamente il valore corretto? Puoi eseguire questa verifica con ADSI Edit: http://msdn.microsoft.com/en-us/library/windows/desktop/ms675098(v=vs.85).aspx

    domenica 30 settembre 2012 11:20
    Moderatore
  • Grazie Fabrizio, 

    Si, utilizzo "Utenti e computer di Active Directory"

    L'attributo "accountExpires" (con ADSI Edit) ha il valore "129882456000000000" mi corrisponde al 31/07/2012 per determinarlo ho seguito le istruzioni riportate qui  ed è la stessa data che visualizzo in "Utenti e Computer di Active Directory" quindi presumo che sia il valore corretto.

    Qualche altra possibile soluzione ?

    Grazie

    lunedì 1 ottobre 2012 15:02
  • Se il valore è impostato correttamente in ADSI Edit allora il giorno dopo la data di scadenza dovrebbe essere impossibile collegarsi con tale account. Per sicurezza hai eseguito la verifica del valore su entrambi i server? Dopo la data di scadenza è possibile collegarsi al dominio da entrambi i server? Se si, verifica nuovamente il valore in ADSI Edit dopo la data di scadenza.

    Ti consiglio un monitoraggio di Active Directory abilitando l'auditing ( http://technet.microsoft.com/it-it/library/cc731607(WS.10).aspx ), il rischio è che le modifiche provengano da utenti dotati per errore di privilegi troppo elevati o da software, script o servizi in esecuzione nel dominio.




    martedì 2 ottobre 2012 12:45
    Moderatore
  • Ancora grazie,

    ho fatto un test su un account test che ho fatto scadere ed effettivamente viene negato l'accesso (stranamente come errore al login mi da un generico "nome utente o password errati" ). Sono caduto in errore (e mi scuso per avervi fatto perdere del tempo) in quanto nell'elenco degli utenti ne ho alcuni che hanno il simbolo dell'utente disabilitato (una piccola x rossa) che probabilmente ha disabilitato manualmente il mio collega. 

    Ora mi chiedo: c'è un modo più immediato per vedere gli utenti con account scaduto nella lista di "Utenti e Computer di AD" ?

    Sarebbe utile per analizzarli e ripristinarli o cancellarli del tutto. 

    Per il momento ho aggirato il problema creando un filtro che mi visualizza gli utenti con scadenza impostata a "Nessuna Scadenza". pero' sono sempre costretto visualizzare le proprietà di ogni singolo utente per decidere chi eliminare e chi no !!

    Grazie comunque

    Antonello 

    giovedì 4 ottobre 2012 13:15
  • In realtà Gastone Canali ti aveva già inserito il comando che puoi utilizzare per ottenere la lista degli account scaduti....

    In alternativa puoi anche creare un filtro direttamente nello snap-in "Utenti e computer di Active Directory" ( http://technet.microsoft.com/it-it/library/cc757566(v=ws.10).aspx ) utilizzando questa query LDAP:

    (&(objectCategory=person)(objectClass=user) (!accountExpires=9223372036854775807) (!accountExpires=0))

    giovedì 4 ottobre 2012 21:14
    Moderatore
  • E' vero, Gastone mi ha suggerito quel comando e lo ringrazio ho scartato la possibilità di utilizzo in quanto non potevo applicarla a "Utenti e Computer di Active directory".

    La Tua query invece mi aiuta, solo che sono costretto a visualizzare ad uno ad uno tutti gli utenti filtrati per vedere chi eliminare e chi no.

    Grazie comunque 

    Antonello

    venerdì 5 ottobre 2012 09:14
  • Ciao Antonello,

    Mi sono permessa di evidenziare la soluzione intanto, pensando che potrebbe essere un riferimento utile per molti scenari simili. 

    Grazie a tutti della partecipazione nel forum!


    Anca Popa Follow ForumTechNetIt on Twitter

    Microsoft offre questo servizio gratuitamente, per aiutare gli utenti e aumentare il database dei prodotti e delle tecnologie. Il contenuto viene fornito “così come è” e non comporta alcuna responsabilità da parte dell'azienda. 

    venerdì 5 ottobre 2012 13:08