U ovom članku pokazat ću vam kako funkcioniraju alati za pretraživanje Aktivni direktorij u sustavu Windows Vista.
Volio bih vidjeti izraz mog lica kada mi je netko u Microsoftu prvi put rekao da će Vista imati poseban program koji će korisnicima omogućiti pretraživanje Active Directory. Bio je to tihi užas. Isprva sam se odmah sjetio složenih LDAP upita. Moja sljedeća misao bila je o informacijama u Active Directoryju kojima korisnici nemaju poslovni pristup (stvari kao što su SID-ovi, sigurnosne grupe, dodjele aplikacija, itd.). Panika je ustupila mjesto razmišljanju o tome kako mogu onemogućiti ove značajke pretraživanja kako bih držao korisnike pod kontrolom. Sada kada je Vista u beta fazi, imao sam priliku pogledati ovaj alat i mogu vam reći da je vrlo koristan, praktičan i nimalo opasan.
Početi
Prije nego što vam pokažem Active Directory alat za pretraživanje, želim spomenuti jednu stvar. Vjerojatno ste čuli za računalo koje nosi akronim GIGO (Garbage In, Garbage Out). GIGO princip je vrlo istinit kada je u pitanju Active Directory alat za pretraživanje. Kada stvarate objekte u Active Directoryju, imate mogućnost unosa informacija o određenim atributima objekta. Na primjer, ako kreirate korisnički objekt, morate unijeti uobičajene podatke kao što su korisničko ime i lozinka, ali možete unijeti i druge podatke kao što su adresa i telefonski broj korisnika.
Razlog zašto se ovdje primjenjuje GIGO princip je taj što morate unijeti mnoge parametre za informacije o atributima objekta i održavati te informacije ažurnima, tada će alat za pretraživanje Active Directory biti neprocjenjiv resurs za vaše korisnike. S druge strane, ako ste administrator koji prilikom kreiranja upisuje samo minimalne potrebne podatke Aktivni objekt Imenik, tada će alat za pretraživanje Active Directory biti u osnovi beskorisan.
Uz sve to rečeno, pogledajmo Active Directory alat za pretraživanje. Možete ga pronaći tako da otvorite upravljačku ploču i kliknete na vezu Mreža i internet koja slijedi poveznice Network Center ( mrežni centar) i pretražujte mrežu. Sad ćeš vidjeti Windows ekran 3.11, koji prikazuje računala unutar domene, kao što je prikazano na slici 1 ispod.
Crtanje 1: Vatrozid sadrži vezu za pretraživanje u Active Directory (Traži Active Directory)
Ako pogledate vrh ovog prozora, primijetit ćete ikonu koja se zove Search Active Directory. Kliknite ovu vezu i Windows će pokrenuti Active Directory alat za pretraživanje prikazan na slici 2.
Crtanje 2: Ovako izgleda Active Directory alat za pretraživanje
Zaslon je vrlo jednostavan i vrlo dobro organiziran. Pri vrhu ćete vidjeti padajući izbornik Pronađi. Prema zadanim postavkama, ovaj popis omogućuje korisniku pretraživanje korisnika, kontakata i grupa, međutim, korisnici također imaju mogućnost pretraživanja računala, pisača, dijeljene mape, ili izvršite prilagođeno pretraživanje.
Ako pogledate desno od padajućeg izbornika Find, vidjet ćete da je ovaj alat prema zadanim postavkama konfiguriran za pretraživanje cijelog Active Directoryja. Padajući popis U daje vam mogućnost pretraživanja na određenoj domeni.
Korisnici mogu izvršiti jednostavan upit u Active Directoryju jednostavnim unosom naziva ili opisa stavke koju traže i klikom na gumb Find Now. Na primjer, ako unesem ime jednog od svojih korisnika i kliknem gumb Find Now, tada Vista vraća popis korisnika, kontakata i grupa koji odgovaraju mom upitu, kao što je prikazano na slici 3. Zatim mogu dvaput kliknuti na objekt da biste vidjeli njegove atribute, što je prikazano na slici 4.
Crtanje 3: Vista prikazuje sve korisnike, kontakte i grupe koji odgovaraju upitu
Slika 4: Ako dvaput kliknete na pronađeni objekt, Vista će prikazati atribute objekta
Ako slika 4 izgleda pomalo čudno, to je zbog GIGO principa o kojem sam ranije govorio. User1 je samo test Račun u mojoj domeni, tako da nema puno atributa povezanih s njim. A ako je tako, onda se ne prikazuje previše rezultata pretraživanja. Zato je važno popuniti dodatne atribute prilikom izrade novog objekta. Ako bi se u ovom slučaju popunili dodatni atributi, tada bismo u rezultatima pretraživanja vidjeli pune kontakt informacije korisnik.
Ako još uvijek niste sigurni u potrebu popunjavanja dodatnih atributa za svoje objekte Active Directory, značajka Napredno pretraživanje može promijeniti vaše mišljenje. Kartica Napredno, prikazana na slici 5, omogućuje vam odabir polja, uvjeta i vrijednosti za pretraživanje.
Crtanje 5:
Kartica Napredno u alatu za pretraživanje Active Directory
Padajući popis Polje omogućuje vam traženje atributa posebne vrste. Na primjer, ako želite pronaći korisnike u određenom gradu, tada možete odabrati opciju Korisnik s padajućeg popisa Polje, a zatim odabrati atribut Grad, kao što je prikazano na slici 6.
Crtanje 6: Napredno pretraživanje omogućuje vam pokretanje pretraživanja na određenim atributima Active Directory
Padajući izbornik uvjeta u osnovi vam omogućuje odabir operatora za funkciju. Na primjer, možete odabrati uvjet poput "počinje s" (Počinje s), "završava" (završava s je), "nije" (nije) itd. Konačno, polje Vrijednost omogućuje vam unos kriterija pretraživanja. Na primjer, ako želite pronaći sve korisnike u uredu u Miamiju, tada možete odabrati Korisnici | Grad (korisnici|grad) s padajućeg popisa Polje. Postavite uvjet (Uvjet) na (Točno) i unesite kriterij pretraživanja u polje Vrijednost, tj. Miami.
Zaključak
Kao što možete vidjeti, Active Directory alat za pretraživanje omogućuje vam korištenje snage Active Directoryja. Korisnici mogu dohvatiti informacije iz Active Directoryja bez stvaranja složenih LDAP upita.
www.windowsnetworking.com
Vidi također:
Komentari čitatelja (bez komentara)
Razmjena 2007
Ako želite pročitati prethodne dijelove ove serije članaka, slijedite veze: Monitor Exchange 2007 pomoću System Managera... Uvod U ovom višedijelnom članku želim vam pokazati proces iz kojeg sam nedavno prelazio postojeće okruženje Exchange 2003... Ako ste propustili prvi dio ove serije, pročitajte ga pod Korištenje alata Exchange Server Alat za analizu daljinskog povezivanja (dio...Dobar dan, dragi čitatelji i pretplatnici, nastavljamo učiti s vama Powershell značajke i Active Directory. Kao što se sjećate, ona ima sve korisničke i računalne račune u bazi podataka NTDS.dit, sve je super i centralizirano. Kada tvrtka ima više od jednog administratora sustava, može se pokazati da gomila smeće i dodatne vjerodajnice. Svi smo mi ljudi i neke stvari možemo zaboraviti, a u nekim trenucima možemo biti ometeni, što će dovesti i do zaborava. važna informacija. I dolazimo do zaključka da nema mnogo aktivni korisnici(otpušten ili zaboravljen), u svakom slučaju, dobro Administrator sustava trebali bismo ih identificirati, isključiti i zatim izbrisati po želji, što ćemo i učiniti.
Preko ADUC snap
Prošli put sam vam već dao primjer korištenja snap-ina Active Directory Users and Computers, putem kojeg smo tražili nestala računala na lokalnoj mreži koja se nisu pojavila mjesec dana. Sada učinimo isto s korisničkim računima. Imam uključen AD Windows Server 2012 R2, otvorite ADUC, da biste to učinili, pritisnite WIN + R i unesite dsa.msc.
U obrazac zahtjeva koji se otvori unesite:
- Naziv upita > moji su izgubljeni korisnici
- Opis ako je potrebno
- Zatražite root > ovdje možete ostaviti cijelu domenu, ili navesti željeni OU
Zatim kliknite gumb za zahtjev.
Na kartici korisnika vidimo stavku "Broj dana od zadnja prijava u sustavu" postavio sam npr. 60 dana.
Kao rezultat toga, dobit ćete popis neaktivnih računa zaposlenika koji su vam potrebni.
Preko powershell snap-a
Sve isto se može učiniti putem Powershell-a. Odmah ću dati kod, čiji je zadatak tražiti neaktivne korisnike, za to sam odabrao razdoblje od 45 dana, isključivši korisničke podatke i preseljenje u posebno određen OU za to.
$date_with_offset=(Get-Date).AddDays(-45)
$users = Get-ADUser -Properties LastLogonDate -Filter (LastLogonDate -lt $date_with_offset ) | SortLastLogonDate
foreach ($user u $users) (set-aduser $user -enabled $false; move-adobject -identity $user -targetpath "ou=Odbačeno,ou=Msk L.Users,ou=Location,dc=msk,dc= contoso,dc=com")
Get-ADUser -Properties LastLogonDate -Filter (LastLogonDate -lt $date_with_offset ) | SortLastLogonDate | FT Ime, LastLogonDate -AutoSize | Izlazna datoteka c:\Script\users.txt
- U prvom retku deklarirate varijablu u kojoj postavljate razdoblje pretraživanja
- Napravite varijablu i napravite odabir na temelju vremena posljednje prijave
- Premještanje korisnika
- Izrada izvješća u datoteci
Više korisnih stvari za rad s korisnikom. Prije korištenja donjih naredbi, morate učitati modul Active Directory, putem naredbe
Get-Help Get-ADUser
MAXIM KOSTYSHIN
Revizija korisničkih računa u Active Directoryju
Ovaj je članak inspiriran informacijama objavljenim u Windows & .Net Magazine/RE #5, 2003. pod nazivom "LDIF Directory Exchange Utility" koji su predložili rješenja koja bi se mogla koristiti za pružanje potrebna razina automatizacija prilikom revizije korisničkih računa u Active Directoryju. U članku su opisane glavne značajke dvaju uslužnih programa Ldifde.exe i Csvde.exe, koji omogućuju dodavanje, mijenjanje i brisanje objekata Active Directory.
Informacije u nastavku usmjerene su na korištenje Windows platformi i prvenstveno su namijenjene osobama zaduženim za pitanja računalna sigurnost revizori specijalizirani za ovo područje. Nadamo se da će članak biti koristan osobama koje se profesionalno bave administracijom lokalnih mreža.
Izjava o problemskim pitanjima
U određenom trenutku dolazi do tog kritičnog stanja za popis korisnika lokalna mreža poduzeća, kada nevoljkost da se zaustavi i analizira njegov sadržaj može za sobom povući više troškova i problema od pravovremenog obavljanja revizijskih poslova i otklanjanja uočenih nedostataka.
O čemu u pitanju? U organizacijama u kojima je broj zaposlenih koji rade sa računalna tehnologija, prelazi 100 ljudi, administraciju obično obavljaju dva ili tri zaposlenika. Nisu svi, zbog raznih okolnosti, dovoljno pedantno tretirani posao unosa podataka o vlasnicima u novootvorene račune. Osim toga, administratori se obično ne nalaze na popisu onih zaposlenika koji su dužni obavijestiti o otpuštanju. Ove dvije okolnosti glavni su razlozi zbog kojih dolazi do gomilanja računa "mrtvih duša".
Pokušajmo napraviti neku sistematizaciju najznačajnijih i očiti problemi za popis Aktivni korisnici Imenik.
Prvo, dodatni unosi na popisu korisnika koji mogu biti:
- računi otpuštenih radnika;
- računi zaposlenih zaposlenika koji se ne koriste i čiji vlasnici vjerojatno neće zapamtiti njihova imena za prijavu na mrežu (da ne spominjemo lozinke);
- Računi blokiranih korisnika za koje je administrator izvršio prvi korak prije brisanja, ali nije dovršio proceduru;
- Računi stvoreni za testiranje, koji obično imaju prilično visoke privilegije, a koje je administrator zaboravio izbrisati nakon završetka procesa testiranja.
Drugo, oni računi koji ne identificiraju vlasnika na jedinstven način mogu se klasificirati kao nevažeći. dodatne informacije u kojem vam ne dopušta da imenujete osobu, odredite njen položaj i odjel, saznate kako je kontaktirati (naravno, ovdje ne govorimo o standardnim računima kao što su "Administrator", "Administrator", "Gost", "Gost" i drugo).
I treće, usklađenost sa zahtjevima politike sigurnosti poduzeća podrazumijeva da napori i administratora i korisnika trebaju biti usmjereni na to da račun koristi samo njegov vlasnik. Odnosno, ako je protokol za izvođenje operacija s bilo kojim od programa pokazao da se korisnik prijavio pod računom Ivana Ivanova, tada bi bilo apsolutno neracionalno trošiti vrijeme na dodatno rastavljanje u situacijama kada se ispostavi da se račun otvara koristili (zbog nedovoljnog poznavanja računala ili obične lijenosti) sve djelatnike odjela koji zapošljava pet ljudi.
Pregled opcija računa
Pokušajmo nabrojati mogućnosti koje administrator ima pri ruci za rad s korisničkim računima u Active Directoryju i kako se one mogu koristiti za reviziju.
Dodatak Active Directory Korisnici i računala (koji se može pronaći pod Administrativnim alatima na poslužitelju). Izvrsna značajka za dodavanje, uređivanje svojstava i brisanje korisnika domene, ali, nažalost, prilično beskorisna u pitanjima revizije i revizije. DO pozitivnih trenutaka uključuju mogućnost izvoza popisa korisnika, koji može uključivati polja kao što su "prijava korisnika", "ime", "prikazano ime", "prezime", "izmijenjeno". Imajte na umu da polje "izmijenjeno" prikazuje vrijeme i datum zadnjih promjena za račun od strane administratora (postavke su ispravljene) ili vlasnika (promijenjena je lozinka).
Net.exe sistemski uslužni program. Pomoću ovog uslužnog programa možete omogućiti rad s podacima određenog korisnika(opcija poziva - "Net user") - dobiti datum i vrijeme zadnja registracija na mreži, kao i odrediti kada lozinka ističe.
Programi skenera čija je zadaća prikupljanje informacija o stanju lokalne mreže ili određenog računala. Među najvećim zanimljivi programi u smislu dobivanja informacija o korisnicima, ističemo CFI LANguard Network Security Scanner (verzija 3.1.5). Pruža priliku da dobijete dovoljno detaljne informacije o računima, kao što su datum i vrijeme posljednje registracije; informacije o tome kada će lozinka isteći; broj registracija korisnika u mreži; vrijednost indeksa pokušaja prijave s netočnom lozinkom. Osim toga, program vam omogućuje generiranje izvješća o neskladu na temelju podataka dvaju spremljenih protokola skeniranja i dobivanje popisa stvorenih i izbrisanih računa. Pošteno radi, napominjemo da program ima značajne nedostatke, posebno za kategoriju korisnika koji govore ruski, budući da ne obrađuje ispravno ruske nazive (u imenima i dodatne opcije računi itd.). Također, nema načina za uštedu zasebna datoteka informacije o pronađenim neslaganjima u listama računa.
Prijeđimo sada na razmatranje komunalnih usluga, koje, po našem mišljenju, pružaju priliku za dobivanje najviše potpune informacije prema korisnicima - Ldifde.exe i Csvde.exe.
Prvi uslužni program omogućuje vam izvoz podataka iz Active Directory u LDIF datoteku. Standard LDIF datoteke definiran je u preporukama RFC-2849 za uvoz i izvoz podataka iz LDAP direktorija kao što je Active Directory. Nakon što su podaci izvezeni, možete koristiti LDIF datoteku za uvoz istih objekata u drugi LDAP direktorij.
Csvde.exe je uslužni program sličan Ldifde.exe (parametri poziva su identični), koji koristi drugačiji format za pohranjivanje podataka u tekstualnu datoteku– vrijednosti su odvojene zarezima (CSV format). Ovaj format podržano programom Microsoft Excel, koji razumije datoteke u CSV formatu, kao i Microsoft Access.
Korištenje uslužnog programa Csvde.exe
Radi jasnoće, umjesto kompletan opis parametara rada s uslužnim programom, dat ćemo primjer na temelju kojeg možete izgraditi upite za sve slučajeve potrebne za reviziju.
csvde -f USERS_WORK.CSV -b GOST MICROSOFT *
R "(&(objectClass=user)(!(objectClass=computer))(!(userAccountControl=514))(!(userAccountControl=66050)))"
L "DN, memberOf, badPasswordTime, lastLogon, logonCount, sAMAccountName, userAccountControl, whenChanged, whenCreated"
Korištenje ove naredbe omogućuje vam spremanje u datoteku najzanimljivijih informacija s gledišta revizije o aktivnim (ne blokiranim) korisničkim računima.
Datoteka USER_WORK.CSV (parametar -f) bit će napisana s podacima o korisničkom računu domene. Program će obraditi podatke koji bi trebali biti dostupni korisniku GUEST MICROSOFT domene, za koji se mora unijeti lozinka tijekom izvršavanja naredbe (parametar -b).
Od svih objekata u LDAP imeniku bit će odabrani samo korisnički računi za koje nema informacija o zaključavanju računa u polju parametra userAccountControl (parametar -r). Kao logičke operacije za filter se koriste - "!" - logičko NE, "&" - logično I, "|" - logično ILI.
Kao rezultat izvršenja naredbe, podaci polja navedenih u parametru -l bit će spremljeni u CSV datoteku (popis najzanimljivijih polja dat je u tablici 1).
Napomena: Naredba "Net user" ne obrađuje ispravno podatke polja pwdLastSet, kao ni neke vremenske vrijednosti. Za polje pwdLastSet, ako lozinka nije postavljena, ispišite trenutni datum i vrijeme. Za podatke o vremenu prikazuju se 12:mm AM i 12:mm PM umjesto 00:mm AM odnosno 00:mm PM.
Tablica 1 Opis nekih polja računa LDAP imenika
|
Naziv polja |
Obrazloženje |
Primjer pohranjenih podataka |
|
Informacije koje identificiraju račun u LDAP imeniku |
CN=Bill Gates,CN=Korisnici,DC=Microsoft,DC=com |
|
|
član |
Informacije o grupama kojima račun pripada |
CN=Gosti domene,CN=Korisnici,DC=Microsoft, DC=com;CN=Gosti,CN=Ugrađeni,DC=Microsoft, DC=com |
|
posljednja prijava |
Datum i vrijeme posljednje prijave |
126340325381029632 |
|
badPasswordTime |
Datum i vrijeme kada je zadnji put korištena netočna lozinka |
126334418756267552 |
|
pwdLastSet |
Datum i vrijeme kada je postavljena posljednja lozinka |
126318831197720512 |
|
računIstiče |
Datum i vrijeme kada račun ističe |
|
|
Kontrola korisničkog računa |
Sadrži više opcija računa |
66048 (0x10200 = DONT_EXPIRE_PASSWORD+NORMAL_ACCOUNT) |
|
sAMAccountName |
Naziv pod kojim se vrši registracija |
Gates |
|
kada se promijenio |
Datum i vrijeme kada se to dogodilo posljednje promjene na računu |
20010511052201.0Z |
|
kadaStvoreno |
Datum i vrijeme kreiranja računa |
20010511052201.0Z |
|
logonCount |
Broj registracija |
|
|
objectClass |
Klasa objekata računa |
korisnik |
Formati podataka o datumu i vremenu
Ako ste bili pažljivi, primijetili ste da u tablici 1 postoje dvije razne opcije koji predstavljaju vrijednosti datuma i vremena.
Ako je format poput YYYYMMDDHHMMSS.0Z (tip GeneralizedTime za ASN.1 kodiranje) koji se koristi za whenChanged, whenCreated GMT polja dovoljno jasan, tada parametri poput lastLogon, pwdLastSet, accountExpires predstavljaju informacije o datumu i vremenu u 32-bitnom UNIX formatu i sadrže sekunde od 1. siječnja 1970., GMT. Radi jasnoće, evo nekih vrijednosti koje mogu biti sadržane u datoteci prenesenih vrijednosti za parametre datuma i vremena u UNIX formatu:
126858492000000000 - odgovara 1.01.2003 00:00
127014876000000000 - odgovara 1.07.2003 00:00
127014912000000000 - odgovara 1.07.2003 01:00
Korištenje funkcija transformacije za CSV podatke
Podaci o računu koji su preneseni pomoću naredbe slične onoj navedenoj na početku odjeljka "Korištenje uslužnog programa Csvde.exe" mogu se pokušati učitati u Microsoft Access, međutim, zbog činjenice da program ne obrađuje ispravno znak za razgraničenje "," u strukturama poput "CN=Bill Gates,CN=Korisnici, DC=Microsoft,DC=com", tada je bolje koristiti slične mogućnosti Microsoftovi programi Excel (vidi sliku 1). Nadalje, informacije za jednostavnu upotrebu mogu se obraditi pomoću Microsofta Excel značajke(makronaredbe, funkcije).
Slike prikazuju podatke CVS datoteke neposredno nakon učitavanja u Microsoft Excel (slika 1) i nakon transformacija (slika 2). Primjeri takvih transformacija dati su u nastavku. Predložene opcije transformacije ne tvrde da su logički potpune, ali mogu biti osnova na kojoj se u kratkom vremenu može razviti potrebni mehanizam obrade za svaki pojedinačni slučaj.
Dobivanje podataka iz strukture DN polja
Za dobivanje korisničkog imena iz strukture poput "…CN=Username,..." u ćeliji A2, može se koristiti sljedeća formula za pretvorbu:
SREDNJI (A2;
FIND("CN=";A2)+3;
PRONAĐI(","; A2;
PRONAĐI("CN=", A2)+3
) - PRONAĐI("CN=";A2) -3
Za dobivanje informacija iz strukture poput "...OU=Podaci,..." u ćeliji A2, može se koristiti sljedeća formula za pretvorbu:
IF(ISBLANK("0"!A2),"";
IF(ISERROR(FIND("OU=";"0"!A2)); "KORISNICI";
MID("0"!A2;
FIND("OU=";"0"!A2)+3;
PRONAĐI(","; "0"!A2;
FIND("OU=";"0"!A2)+3) –
FIND("OU=";"0"!A2) -3
Rukovanje Unix podacima o datumu i vremenu
Predlažemo dobivanje datuma u formatu DD.MM.GGGG na temelju podataka u Unix formatu u dvije faze. U prvoj fazi izračunava se broj dana koji su prošli od 1. siječnja 2003. U drugoj fazi se formira niz datuma u standardnom formatu.
Da biste dobili broj dana koji su prošli od 1. siječnja 2003., na temelju podataka u ćeliji F2 danih u Unix formatu datuma i vremena, može se koristiti sljedeća formula za pretvorbu:
AKO(
VRIJEDNOST(LIJEVO(F2,11))=0;
ZAOKRUŽENJE((VRIJEDNOST(LIJEVO(F2,11))- 12685849200)/24/3600, 0)
Vrijednost pomaka dana u odnosu na 1. siječnja 2003. (u ćeliji E2) dobivena u prvoj fazi koristi se za formiranje datuma u standardnom formatu.
IF(E2=-1;
"Nedostaje";
SPOJITI(
DAY(DATEVALUE("1/1/2003")+E2);
".";
MJESEC(DATUMVRIJEDNOST("1/1/2003")+E2);
".";
GODINA(DATEVRIJEDNOST("1/1/2003")+E2)
Rukovanje podacima o datumu i vremenu u formatu GeneralizedTime za ASN.1 kodiranje
Pretvaranje broja u GGGGMMDDMMSS.0Z formatu u DD.MM.GGGG HH:MM format
SPOJITI(
SREDINA(N2;7;2); "."; SREDNJI (N2;5;2); "."; MID(N2;1;4); " ";
SREDINA(N2;9;2); ":"; SREDINA(N2;11;2)
Obrada vrijednosti polja userAccountControl o blokiranju zapisa
Dobivanje podataka o stanju računa prema vrijednosti polja userAccontControl sadržanog u ćeliji G2:
IF(ISBLANK(G2),"";
IF(ORG2=514; G2=66050);"Blokirano";"Aktivno")
Detaljna objašnjenja i opis formata za pohranu podataka u polju userAccountControl možete pronaći u Microsoftovom članku "Kako koristiti zastavice UserAccountControl za manipulaciju korisnički račun Svojstva" (http://support.microsoft.com/?kbid=305144). Napominjemo samo da ako parametri računa nisu postavljeni, onda je decimalna vrijednost userAccountControl 512; decimalna vrijednost za blokirani račun bez drugih opcija je 514.
Zaključak
Članak predlaže prilično jednostavnu metodu za dobivanje podataka za reviziju korisničkih računa u Active Directoryju, koja ne zahtijeva posebne vještine i znanje programskih jezika.
Imajte na umu da se uz gornju metodu može koristiti varijanta koju preporučuje Microsoft, a koja uključuje korištenje sučelja Aktivne usluge Imenik (ADSI), koji pruža jednostavan, moćan, objektno orijentiran pristup resursima Active Directory. ADSI sučelja omogućuju programerima i administratorima stvaranje kataloških programa pomoću alata visoka razina npr. Microsoft Visual Basic, Java, C ili Visual C++ bez brige o razlikama u imenskom prostoru. ADSI sučelja su u potpunosti scriptable, što ih čini jednostavnim za administratore za korištenje.
I na kraju, kao preporuke, navodimo one nijanse na koje biste trebali obratiti pažnju prilikom analize podataka popisa korisnika, što može ukazivati na postojeće probleme pri korištenju računa:
- blokirani računi (nakon analize posljednji datum registracije se mogu izbrisati ako za njima nema potrebe);
- Podaci o računu koji pokazuju da je posljednja prijava na mrežu bila prije tri ili više mjeseci mogu ukazivati na to da je zaposlenik koji je bio vlasnik računa već otpušten;
- ako je broj online registracija za račun nula, a prošlo je više od mjesec dana od njegovog kreiranja, to može značiti da stvoreni račun nije potražen;
- veliki broj online registracija može ukazivati na to da račun za prijavu na mrežu ne koristi samo vlasnik.
U sustavu Windows i AD postoje atributi za praćenje nedavnih događaja registracije početka sesije, ali njihovo raščlanjivanje je previše glomazno. Jedna je opcija izdvojiti događaje prijave na svakom kontroleru domene (DC) i sortirati ih po datumu i korisniku kako bi se identificirale najnovije instance po korisniku. Druga je mogućnost provjeriti vrijednosti atributa korisnika AD lastlogon, koje također ne repliciraju kontroleri domene. Stoga, kao i u prvom slučaju, vrijednosti posljednje prijave morat će se dohvatiti iz svakog DC-a u ovoj domeni, a zatim dodijeliti najnovije instance za svakog korisnika.
U sustavu Windows Server 2003 i drugim verzijama koje rade na višim funkcionalnim razinama domene, postoji lastlogontimestamp AD atribut koji se replicira između kontroleri domene. Vrijednosti ovog atributa pohranjene su kao dugi cijeli brojevi (u trenutku pisanja, moja vrijednost za lastlogontimestamp atribut je 129623232699932000), što je teško pročitati. Međutim, dizajneri PowerShell-a za AD osigurali su način pretvaranja ovog broja u deskriptivnu vrijednost pod nazivom LastLogonDate, koja izgleda ovako: Sub, 8. listopada 2011. 13:07:18. Ovoj vrijednosti pristupa Get-ADUser.
Znajući to, možete prikazati popis korisnika poredanih po datumu posljednje registracije u domeni:
Get-aduser -f * -pr lastlogondate|sort -property lastlogondate|ft samaccountname, lastlogondate -auto
Tako možete postaviti upit bilo kojem DC-u i saznati postoje li korisnici na domeni koji su se zadnji put registrirali u domeni, recimo 22. rujna 2011. godine. Međutim, ovdje postoje određene nijanse. Lastlogontimestamp atribut je dodan AD-u u korist AD administratora kojima je bio potreban način za praćenje događaja dnevnika početka sesije, ali Redmond je bio zabrinut da bi dodavanje neke vrste mehanizma za praćenje moglo značajno povećati promet replikacije AD-a.
Kako bi smanjili promet povezan s repliciranjem vrijednosti atributa lastlogontimestamp, kontrolori domene ažuriraju ovu vrijednost najviše svakih 9-14 dana. Svaki put kada se korisnik prijavi, DC ispituje trenutnu vrijednost posljednje vremenske oznake tog korisnika. Tada DC bira slučajni broj između 9 i 14. Ako je broj dana između posljednjeg događaja prijave i sada manji od odabranog slučajnog broja, tada DC ne ažurira vrijednost zadnjeg vremena prijave za ovog korisnika. Dakle, vrijednost lastlogontimestamp svakog korisnika ažurira se samo jednom otprilike svakih 12 dana, bez obzira na to koliko često taj korisnik započinje svoju sesiju tijekom dato razdoblje. Takvi podaci nisu baš točni, ali vam omogućuju smanjenje prometa replikacije.
Pretpostavimo da sam se registrirao u podne 20. siječnja 2012., a prije toga nisam se ulogirao na domenu od 9. siječnja tekuće godine od 9:00 sati. Dakle, moja sesija nije bila prijavljena 11,25 dana. Moj DC odabire nasumični broj između 9 i 14 - recimo 13.44. Ovaj broj (13.44) duži je od vremenskog intervala između posljednja dva događaja prijave (11.25), tako da DC ne mijenja vrijednost moje zadnje vremenske oznake nakon ovo lansiranje sjednica. Dakle, atribut lastlogontimestamp, iako je svakako koristan, može sadržavati netočne informacije tijekom 14 dana i ne dopušta vam da identificirate korisnike koji se nisu registrirali na domeni u posljednja dva tjedna. Međutim, vrlo je zgodno tražiti neaktivne korisnike, recimo, u posljednjih šest mjeseci.
Možete vježbati pronalaženje korisnika koji se nisu prijavili u posljednjih 180 dana koristeći Get-ADUser, ali programeri PowerShell za AD nam je olakšao stvaranjem naredbe search-adaccount koja vam omogućuje pokretanje ovog upita:
Search-adaccount -accountinactive -usersonly -timespan "195"
Zahtjev izgleda jednostavno, ali naredba ima dvije neočigledne točke. Prvo, primijetimo dvostruki navodnici, oko broja 195 ( obavezni zahtjev parametar -vremenski raspon). Drugo, primijetite broj 195 umjesto 180. Također, zapamtite da je atribut lastlogontimestamp dostupan samo za domenu s funkcionalnom razinom sustava Windows 2003 ili novijom. Nije točno jednak 15). O razlogu takvog zahtjeva, kako saznati točnu vrijednost koja se dodaje, kao i alternativnu sintaksi za traženje neaktivnih korisnika, govorit ću u sljedećem članku.
Mark Minasi (www.minasi.com/gethelp) - viši urednik Windows zapisnik IT stručnjak, certificirani sistemski inženjer za Microsoftove proizvode
