我正在尝试构建一个列出当前锁定在 Active Directory 中的所有帐户的应用程序。据我了解,Active DirectoryLockedOut将对象的属性更改为true帐户被锁定时,而依赖其他方法不太可靠,例如查看 if lockoutTime>1。
我知道你可以看到这个属性,如果你运行了更多,get-aduser johndoe -properties *但我无法通过 LDAP 查询获取所有属性。
换句话说,是否可以lockedOut通过 LDAP 查询等方式提取扩展的 AD 属性?
对不起,我之前的回答确实是错误的。然而,在做了一些研究之后,似乎:
未设置或 0的lockoutTime属性可靠地指示帐户未锁定。(见本文备注部分)。
msDS-User-Account-Control-Computed位字段属性可靠地指示帐户是否被锁定(如果设置了位0x10),但它是一个计算值,不能包含在搜索过滤器中。
因此,最好的解决方案可能是查询所有可能使用过滤器锁定的帐户,(&(objectClass=user)(lockoutTime>=1))然后通过检查属性0x10位以编程方式进一步过滤结果msDS-User-Account-Control-Computed,以便获得准确的结果。
本文末尾概述了相同的解决方案。