-1

我需要从 Active Directory 中获取密码即将到期(比如 5 天)的用户列表。

我需要通过添加一个过滤器来做到这一点,DirectorySearcher因为它会最快。我已将samaccountname模式添加到过滤器中,但我不知道如何添加pwdLastSet。理想情况下,过滤器会将用户列表减少到仅满足密码过期条件的用户。

        using (DirectoryEntry searchRoot = GetXYZAccountOU())
        {
            DirectorySearcher ds = new DirectorySearcher(searchRoot);
            ds.SearchScope = SearchScope.Subtree;

            ds.Filter = "(&" +                                
                            "(samaccountname=XYZ*)"
             + ")";


            SearchResultCollection result = ds.FindAll();

            foreach (SearchResult searchResult in result)
            {
                var de = searchResult.GetDirectoryEntry();
                //long pwdLastSetVal = (long)de.Properties["pwdLastSet"][0];

                //Console.WriteLine(de.Properties["displayName"].Value + ": " + DateTime.FromFileTimeUtc(pwdLastSetVal));
                Console.WriteLine(de.Properties["displayName"].Value);
            }

            Console.Read();
        }

这里 XYZ 是我用户的samaccountname.

如果我运行此代码,我可以获得displayName和其他一些属性,但不能获得pwdLastSet或计算属性msDS-UserPasswordExpiryTimeComputed,而我可以在 Active Directory 浏览器中看到它们。

4

1 回答 1

0

您必须提前知道密码的有效期,并查询pwdLastSet属性。但当然,日期是以一种奇怪的格式存储的。

假设它们的有效期为 30 天。然后你可以像这样构造查询:

var date = DateTime.Now.AddDays(-30).ToFileTime();
var query = $"(&(objectclass=user)(objectcategory=person)(!pwdlastset=0)(pwdlastset<={date})(!userAccountControl:1.2.840.113556.1.4.803:=65536))";

帐户可以设置为密码永不过期,因此您必须在查询中考虑到这一点。userAccountControl条件就是这样做的。

如果您不想在代码中使用幻数,您可以通过查看域maxPwdAge根目录的属性(以不同的、奇怪的格式存储)来查找密码在域上的有效时间:

var domain = new DirectoryEntry("LDAP://domain.com");
Int64 pwdAge = (Int64) domain.Properties["maxPwdAge"][0];
var maxPwdAge = pwdAge / -864000000000; //convert to days
于 2017-12-20T13:25:52.837 回答