Në këtë artikull do t'ju tregoj se si funksionojnë mjetet e kërkimit Active Directory në Windows Vista.
Do të doja të kisha parë pamjen e fytyrës sime herën e parë që dikush në Microsoft më tha se Vista do të kishte një aplikacion të veçantë që do t'i lejonte përdoruesit të kërkonin në Active Directory. Ishte tmerr i qetë. Në fillim m'u kujtua menjëherë pyetjet komplekse LDAP. Mendimi im i radhës ishte në lidhje me informacionin në Active Directory në të cilin përdoruesit nuk kanë akses biznesi (gjëra si SID-të, grupet e sigurisë, detyrat e aplikacioneve, etj.). Paniku i la vendin të pyeste veten se si mund t'i çaktivizoja këto aftësi kërkimi për t'i mbajtur përdoruesit nën kontroll. Tani që ka ardhur versioni beta i Vista-s, kam mundësinë t'i hedh një sy këtij mjeti dhe guxoj t'ju raportoj se është një mjet shumë i dobishëm, praktik dhe aspak i rrezikshëm.
Të fillosh
Para se t'ju tregoj mjetin e kërkimit të Active Directory, dua të përmend një gjë. Ju ndoshta keni dëgjuar për kompjuterin që shkon me akronimin GIGO (Garbage In, Garbage Out). Parimi GIGO është shumë i vërtetë kur bëhet fjalë për një mjet kërkimi në Active Directory. Kur krijoni objekte në Active Directory, ju keni mundësinë të futni informacione në lidhje me atributet e caktuara të objektit. Për shembull, nëse krijoni një objekt përdoruesi, duhet të futni informacione normale si emrin e përdoruesit dhe fjalëkalimin, por gjithashtu mund të futni informacione të tjera si adresën dhe numrin e telefonit të përdoruesit.
Arsyeja pse parimi GIGO zbatohet këtu është se nëse futni shumë parametra për informacionin e atributeve të objektit dhe e mbani atë informacion të përditësuar, atëherë mjeti i kërkimit të Active Directory do të jetë një burim i paçmuar për përdoruesit tuaj. Nga ana tjetër, nëse jeni një administrator që fut vetëm informacionin minimal të kërkuar gjatë krijimit Objekti aktiv Directory, atëherë mjeti i kërkimit të Active Directory do të jetë në thelb i padobishëm.
Me gjithë sa thamë, le t'i hedhim një sy mjetit të kërkimit të Active Directory. Mund ta gjeni duke hapur panelin e kontrollit dhe duke klikuar në lidhjen Rrjeti dhe Interneti që ndjek lidhjet e Qendrës së Rrjetit ( qendra e rrjetit) dhe Shfletoni rrjetin. Tani do të shihni Ekrani i Windows 3.11, i cili shfaq kompjuterët brenda një domeni siç tregohet në figurën 1 më poshtë.
Vizatim 1: Firewall përmban një lidhje për të kërkuar në Active Directory (Kërko Active Directory)
Nëse shikoni në krye të kësaj dritareje, do të vini re një ikonë të quajtur Search Active Directory. Klikoni këtë lidhje dhe Windows do të nisë veglën e Kërkimit të Drejtorisë Active, e cila tregohet në Figurën 2.
Vizatim 2: Kështu duket mjeti i kërkimit të Active Directory
Ekrani është shumë i thjeshtë dhe shumë mirë i organizuar. Në krye do të shihni një listë rënëse Gjej. Si parazgjedhje, kjo listë i lejon përdoruesit të kërkojë përdorues, kontakte dhe grupe, megjithatë, përdoruesit kanë gjithashtu mundësinë të kërkojnë për kompjuterë, printera, dosje të përbashkëta, ose kryeni një kërkim specifik.
Nëse shikoni në të djathtë të listës rënëse Find, do të shihni se si parazgjedhje ky mjet është konfiguruar për të kërkuar të gjithë Active Directory. Lista rënëse In ju jep mundësinë për të kërkuar brenda një domeni specifik.
Përdoruesit mund të kryejnë një pyetje të thjeshtë të Active Directory thjesht duke futur emrin ose përshkrimin e artikullit që kërkojnë dhe duke klikuar butonin Gjej Tani. Për shembull, nëse fut emrin e njërit prej përdoruesve të mi dhe klikoj butonin Gjej Tani, Vista kthen një listë të përdoruesve, kontakteve dhe grupeve që përputhen me kërkimin tim, siç tregohet në figurën 3. Më pas mund të klikoj dy herë një objekt për të parë atributet e tij, e cila tregohet në figurën 4.
Vizatim 3: Vista shfaq të gjithë përdoruesit, kontaktet dhe grupet që përputhen me pyetjen
Figura 4: Nëse klikoni dy herë mbi një objekt të gjetur, Vista do të shfaqë atributet e objektit
Nëse Figura 4 duket pak e çuditshme, kjo është falë parimit GIGO për të cilin fola më parë. User1 është vetëm një provë Llogaria në domenin tim, kështu që nuk ka shumë atribute të lidhura me të. Dhe nëse po, atëherë nuk shfaqen shumë rezultate kërkimi. Kjo është arsyeja pse është e rëndësishme të plotësoni atribute shtesë kur krijoni një objekt të ri. Nëse në këtë rast plotësoheshin atributet shtesë, atëherë do të shihnim të plotë informacion kontakti përdorues.
Nëse ende nuk jeni të bindur se duhet të plotësoni atribute shtesë për objektet tuaja të Active Directory, funksioni i Kërkimit të Avancuar mund t'ju ndryshojë mendjen. Skeda Advanced, e paraqitur në Figurën 5, ju lejon të zgjidhni fushën, gjendjen dhe vlerën për të kërkuar.
Vizatim 5:
Skeda e avancuar në mjetin e kërkimit në drejtorinë aktive
Lista rënëse Field ju lejon të kërkoni për atribute të një lloji të veçantë. Për shembull, nëse dëshironi të gjeni përdorues në një qytet të caktuar, atëherë mund të zgjidhni opsionin Përdorues nga lista rënëse Field dhe më pas të zgjidhni atributin City, siç tregohet në Figurën 6.
Vizatim 6: Kërkimi i avancuar ju lejon të kryeni kërkime në atributet individuale të Active Directory
Zbritja e kushteve në thelb ju lejon të zgjidhni një operator për një funksion. Për shembull, mund të zgjidhni një kusht si "Fillon me", "mbaron me është", "nuk është" etj. Së fundi, fusha Vlera ju lejon të vendosni kriteret e kërkimit. Për shembull, nëse dëshironi të gjeni të gjithë përdoruesit në zyrën e Miami, atëherë mund të zgjidhni Përdoruesit | Qyteti (përdoruesit|qyteti) nga lista rënëse Field. Cakto Kushtin në Saktësisht dhe fut kriterin e kërkimit në fushën Vlera, d.m.th. Miami.
konkluzioni
Siç mund ta shihni, mjeti i kërkimit të Active Directory ju lejon të shfrytëzoni fuqinë e Active Directory. Përdoruesit mund të marrin informacion nga Active Directory pa krijuar pyetje komplekse LDAP.
www.windowsnetworking.com
Shiko gjithashtu:
Komentet e lexuesve (pa komente)
Shkëmbim 2007
Nëse dëshironi të lexoni pjesët e mëparshme të kësaj serie artikujsh, ju lutemi ndiqni lidhjet: Monitorimi i Exchange 2007 Using System Manager... Hyrje Në këtë artikull shumëpjesësh, dua t'ju tregoj një proces nga i cili kam kaluar kohët e fundit mjedisi ekzistues Shkëmbim 2003... Nëse keni humbur pjesën e parë të kësaj serie, ju lutemi lexoni atë në Përdorimi i mjetit Exchange Server Mjeti i analizës së lidhjes në distancë (pjesë...Mirëmëngjes, të dashur lexues dhe abonentë, ne vazhdojmë të studiojmë me ju Aftësitë e Powershell dhe Active Directory. Siç e mbani mend, të gjitha llogaritë e saj të përdoruesve dhe kompjuterëve ndodhen në bazën e të dhënave NTDS.dit, gjithçka është e shkëlqyer dhe e centralizuar. Kur një kompani ka më shumë se një administrator sistemi, mund të lindë një situatë ku grumbullohen mbeturina dhe kredenciale të panevojshme. Ne të gjithë jemi njerëz dhe mund të harrojmë disa gjëra, dhe në disa momente mund të shpërqendrohemi, gjë që gjithashtu do të çojë në harresë informacion i rendesishem. Dhe arrijmë në përfundimin se Drejtoria Actvie nuk grumbullohet përdorues aktivë(i shkrepur ose i harruar), sido që të jetë, mirë Administratori i sistemit duhet t'i identifikojë, t'i çaktivizojë dhe më pas t'i fshijë nëse dëshironi, gjë që do të bëjmë.
Nëpërmjet snap-in ADUC
Herën e fundit ju dhashë një shembull të përdorimit të snap-in-it të Active Directory Users and Computers, nëpërmjet të cilit ne kërkuam kompjuterë të humbur në rrjetin lokal që nuk ishin shfaqur për një muaj. Tani do të bëjmë të njëjtën gjë me llogaritë e përdoruesve. Unë kam AD në Windows Server 2012 R2, hapni ADUC, për ta bërë këtë shtypni WIN+R dhe futni dsa.msc.
Në formularin e kërkesës që hapet, shkruani:
- Kërko emrin > për mua këta janë përdorues të humbur
- Përshkrimi nëse është e nevojshme
- Kërkoni rrënjë > këtu mund të lini të gjithë domenin, ose ta specifikoni në OU-në e dëshiruar
Pastaj klikoni butonin kërkesë.
Në skedën e përdoruesve shohim artikullin "Numri i ditëve që nga viti identifikimi i fundit në sistem" kam vendosur 60 ditë për shembull.
Si rezultat, do të merrni listën që ju nevojitet për llogaritë joaktive të punonjësve.
Nëpërmjet snap-in powershell
E njëjta gjë mund të bëhet përmes Powershell. Unë do t'ju jap menjëherë kodin, detyra e të cilit është të kërkoni për përdorues joaktivë; për këtë zgjodha një periudhë prej 45 ditësh, duke çaktivizuar të dhënat e përdoruesit dhe duke lëvizur në një OU të caktuar posaçërisht.
$date_with_offset= (Get-Date).AddDays(-45)
$users = Get-ADUser -Properties LastLogonDate -Filter (LastLogonDate -lt $date_me_offset ) | Rendit Data Logon Fund
foreach ($user në $users) (set-aduser $user -enabled $false; move-adobject -identity $user -targetpath "ou=Fired,ou=Moscow L. users,ou=Location,dc=msk,dc= contoso,dc=com")
Get-ADUser -Properties LastLogonDate -Filter (LastLogonDate -lt $date_with_offset ) | Rendit Data e Fundit Logon | FT Emri, LastLogonDate -AutoSize | Jashtë skedarit c:\Script\users.txt
- Në rreshtin e parë ju deklaroni një variabël në të cilin vendosni termin e kërkimit
- Krijoni një variabël dhe bëni një përzgjedhje bazuar në kohën e fundit të hyrjes
- Lëvizja e përdoruesve
- Bërja e një raporti në një dosje
Gjëra më të dobishme për të punuar me përdoruesin. Përpara se të përdorni komandat e mëposhtme, duhet të ngarkoni modulin Active Directory nëpërmjet komandës
Get-Help Get-ADUser
MAXIM KOSTYSHIN
Auditimi i llogarive të përdoruesve në Active Directory
Arsyeja e shfaqjes së këtij artikulli ishte informacioni i botuar në revistën “Windows & .Net Magazine/RE” nr. 5 për vitin 2003 nën titullin “LDIF Directory Exchange Utility”, i cili sugjeronte zgjidhje që mund të përdoren për të siguruar nivelin e kërkuar automatizimi kur auditoni llogaritë e përdoruesve në Active Directory. Artikulli përshkruan aftësitë kryesore të dy shërbimeve Ldifde.exe dhe Csvde.exe, të cilat ofrojnë shtimin, ndryshimin dhe fshirjen e objekteve të Active Directory.
Informacioni i mëposhtëm përqendrohet në përdorimin e platformave Windows dhe është i destinuar kryesisht për njerëzit përgjegjës siguria kompjuterike auditorët e specializuar në këtë fushë. Shpresojmë që artikulli të jetë i dobishëm edhe për njerëzit e përfshirë profesionalisht në administrimin e rrjeteve lokale.
Deklarata e çështjeve problematike
Në një moment të caktuar kohor, një gjendje kritike ndodh për listën e përdoruesve rrjet lokal ndërmarrjeve, kur mosgatishmëria për të ndaluar dhe analizuar përmbajtjen e saj mund të çojë në kosto dhe probleme më të mëdha sesa zbatimi në kohë i punës audituese dhe eliminimi i mangësive të identifikuara.
Për çfarë ne po flasim për? Në organizatat ku numri i punonjësve që punojnë me pajisje kompjuterike, i kalon 100 persona, administrimi zakonisht kryhet nga dy ose tre punonjës. Jo të gjithë, për shkak të rrethanave të ndryshme, e trajtojnë punën e futjes së informacionit për pronarët në llogaritë e krijuara rishtazi me pedantëri të mjaftueshme. Përveç kësaj, administratorët zakonisht nuk përfshihen në listën e punonjësve të cilëve u kërkohet të raportohen pushimet nga puna. Këto dy rrethana janë arsyet kryesore pse ndodh akumulimi i llogarive të "shpirtrave të vdekur".
Le të përpiqemi të bëjmë disa sistematizime nga më të rëndësishmet dhe probleme të dukshme për listën Përdorues aktivë Drejtoria.
Së pari, hyrje shtesë në listën e përdoruesve, të cilët mund të jenë:
- llogaritë e punonjësve të ndërprerë;
- llogaritë e punonjësve që punojnë që nuk përdoren dhe pronarët e të cilëve nuk kanë gjasa të mbajnë mend emrat e hyrjes (për të mos përmendur fjalëkalimet);
- llogaritë e përdoruesve të bllokuara për të cilat administratori ka përfunduar hapin e parë para fshirjes, por nuk e ka përfunduar procedurën;
- llogaritë e krijuara për testim, të cilat zakonisht kanë privilegje mjaft të larta dhe të cilat administratori harroi t'i fshinte pas përfundimit të procesit të testimit.
Së dyti, ato llogari që nuk identifikojnë qartë pronarin mund të klasifikohen si të papranueshme, d.m.th. informacion shtese në të cilën nuk ju lejon të emërtoni një person, të përcaktoni pozicionin dhe departamentin e tij, të zbuloni se si ta kontaktoni (sigurisht, nuk po flasim për llogari standarde si "Administrator", "Administrator", "Vizitor", "Vizitor ”, dhe të tjera).
Dhe së treti, pajtueshmëria me politikën e sigurisë së ndërmarrjes kërkon që përpjekjet si nga administratorët ashtu edhe nga përdoruesit të drejtohen drejt sigurimit që një llogari të përdoret vetëm nga pronari i saj. Kjo do të thotë, nëse protokolli për kryerjen e operacioneve me ndonjë nga programet tregonte se përdoruesi ishte regjistruar nën llogarinë e Ivan Ivanovich Ivanov, atëherë do të ishte absolutisht irracionale të humbisni kohë në diskutime shtesë me situata kur rezulton se llogaria është duke u përdorur (për shkak të njohurive të pamjaftueshme kompjuterike ose përtacisë së zakonshme) të gjithë punonjësit e departamentit, ku janë të punësuar pesë persona.
Pasqyrë e opsioneve të llogarisë
Le të përpiqemi të rendisim aftësitë që ka në dorë një administrator për të punuar me llogaritë e përdoruesve në Active Directory dhe shkallën në të cilën ato mund të përdoren për të kryer një auditim.
Snap-in Users and Computers në Active Directory (i cili mund të gjendet në seksionin Administrative Tools të serverit). Një mundësi e mrekullueshme për të shtuar, modifikuar pronat dhe fshirjen e përdoruesve të domenit, por, për fat të keq, mjaft e padobishme në çështjet e auditimit dhe auditimit. TE aspektet pozitive Kjo përfshin mundësinë për të eksportuar një listë të përdoruesve, e cila mund të përfshijë fusha të tilla si "emri i hyrjes së përdoruesit", "emri", "emri i shfaqur", "mbiemri", "ndryshuar". Vini re se fusha "e ndryshuar" tregon kohën dhe datën e ndryshimeve të fundit për llogarinë nga administratori (cilësimet janë rregulluar) ose pronari (fjalëkalimi është ndryshuar).
Shërbimi i sistemit Net.exe. Me këtë mjet mund të siguroheni që punoni me të dhëna përdorues specifik(opsioni i thirrjes – “Përdoruesi neto”) – merrni datën dhe orën regjistrimin e fundit në rrjet, dhe gjithashtu përcaktoni se kur skadon fjalëkalimi.
Programe skaner, detyra e të cilëve është të mbledhin informacione për gjendjen e një rrjeti lokal ose një kompjuteri specifik. Ndër më të shumtët programe interesante Për sa i përket marrjes së informacionit rreth përdoruesve, ne vëmë re CFI LANguard Network Security Scanner (ver 3.1.5). Ai ofron mundësinë për të marrë mjaftueshëm informacion i detajuar për llogaritë, si data dhe ora e regjistrimit të fundit; informacion se kur do të skadojë fjalëkalimi; numri i regjistrimeve të përdoruesve në rrjet; vlera e indeksit të përpjekjeve për hyrje me një fjalëkalim të pasaktë. Për më tepër, programi lejon, bazuar në të dhënat e dy protokolleve të ruajtura të skanimit, të gjenerojë një raport mbi mospërputhjet dhe të marrë një listë të llogarive të krijuara dhe të fshira. Për të qenë të drejtë, vërejmë se programi ka mangësi të konsiderueshme, veçanërisht për kategorinë e përdoruesve që flasin rusisht, pasi përpunon gabimisht emrat rusë (në emra dhe parametra shtesë llogaritë, etj.). Përveç kësaj, nuk ka asnjë mundësi për të ruajtur në skedar të veçantë informacion në lidhje me mospërputhjet e gjetura në listat e llogarive.
Le të kalojmë tani në shqyrtimin e shërbimeve që, sipas mendimit tonë, ofrojnë mundësinë për të marrë më shumë informacion të plotë nga përdoruesit – Ldifde.exe dhe Csvde.exe.
Programi i parë ju lejon të eksportoni të dhëna nga Active Directory në një skedar në formatin LDIF. Standardi i skedarit LDIF është përcaktuar në udhëzimet RFC-2849 për importimin dhe eksportimin e të dhënave nga drejtoritë LDAP si Active Directory. Pasi të eksportoni të dhënat, mund të përdorni skedarin LDIF për të importuar të njëjtat objekte në një drejtori tjetër LDAP.
Csvde.exe është një mjet i ngjashëm me Ldifde.exe (parametrat e thirrjes janë identike), i cili përdor një format të ndryshëm të ruajtjes së të dhënave në skedar teksti- vlerat ndahen me presje (format CSV). Ky format mbështetur nga programi Microsoft Excel, i cili kupton skedarët në format CSV, si dhe Microsoft Access.
Duke përdorur mjetin Csvde.exe
Për qartësi, në vend të përshkrim i plotë parametrat për të punuar me shërbimin, ne japim një shembull mbi bazën e të cilit mund të ndërtoni pyetje për të gjitha rastet e nevojshme për auditim.
csvde -f USERS_WORK.CSV -b GUEST MICROSOFT *
R "(&(objectClass=përdorues)(!(objectClass=kompjuter))(!(userAccountControl=514))(!(userAccountControl=66050)))"
L "DN, MemberOf, badPasswordTime, lastLogon, logonCount, sAMAccountName, userAccountControl, whenChanged, whenCreated"
Përdorimi i kësaj komande ju lejon të ruani në një skedar informacionin më interesant nga pikëpamja e auditimit për llogaritë aktive (jo të bllokuara) të përdoruesve.
Skedari USER_WORK.CSV (parametri -f) do të regjistrojë informacionin e llogarisë së përdoruesit të domenit. Programi do të përpunojë të dhëna që duhet të jenë të aksesueshme për përdoruesin GUEST të domenit MICROSOFT, fjalëkalimi për të cilin duhet të futet gjatë ekzekutimit të komandës (parametri -b).
Nga të gjitha objektet në drejtorinë LDAP, do të zgjidhen vetëm llogaritë e përdoruesve për të cilat fusha e parametrit userAccountControl nuk përmban informacione të bllokimit të llogarisë (parametri -r). Si operacionet logjike për përdorimin e filtrit - "!" – JO logjike, “&” – logjike DHE, “|” – logjik OSE.
Si rezultat i ekzekutimit të komandës, të dhënat e fushave të listuara në parametrin -l do të ruhen në skedarin CSV (lista e fushave më interesante është dhënë në tabelën 1).
Shënim: Komanda "Net user" nuk përpunon saktë të dhënat e fushës pwdLastSet, si dhe disa vlera kohore. Për fushën pwdLastSet, nëse fjalëkalimi nuk ishte specifikuar, data aktuale dhe koha. Për të dhënat e kohës, në vend të vlerave të formës 00:mm AM dhe 00:mm PM, shfaqen respektivisht vlerat 12:mm AM dhe 12:mm PM.
Tabela 1. Përshkrimi i disa fushave të llogarive të drejtorisë LDAP
|
Emri i fushes |
Shpjegim |
Shembull i të dhënave të ruajtura |
|
Informacion që identifikon një llogari në një direktori LDAP |
CN=Bill Gates,CN=Përdoruesit,DC=Microsoft,DC=com |
|
|
anetar i |
Informacion rreth grupeve të cilave u përket llogaria |
CN=Të ftuarit e domenit,CN=Përdoruesit,DC=Microsoft, DC=com;CN=Të ftuarit,CN=Builtin,DC=Microsoft, DC=com |
|
e funditLogon |
Data dhe ora e hyrjes së fundit |
126340325381029632 |
|
badPasswordTime |
Data dhe ora e përdorimit të fundit të fjalëkalimit janë të pasakta. |
126334418756267552 |
|
pwdLastSet |
Data dhe ora kur është vendosur fjalëkalimi i fundit |
126318831197720512 |
|
llogaria Skadon |
Data dhe ora që tregon skadimin e llogarisë |
|
|
UserAccountControl |
Përmban disa cilësime të llogarisë |
66048 (0x10200 = DONT_EXPIRE_PASSWORD+NORMAL_ACCOUNT) |
|
sAMAccountEmri |
Emri me të cilin bëhet regjistrimi |
Portat |
|
kur Ndryshuar |
Data dhe ora kur ndodhi ndryshimet e fundit në llogarinë tuaj |
20010511052201.0Z |
|
kurKrijohet |
Data dhe ora e krijimit të llogarisë |
20010511052201.0Z |
|
logcount |
Numri i regjistrimeve |
|
|
objektKlasa |
Klasa e objektit të llogarisë |
përdorues |
Data dhe Ora Formatet e të Dhënave
Nëse keni qenë të vëmendshëm, do të keni vënë re se në tabelën 1 janë dy opsione të ndryshme paraqitjen e vlerave të datës dhe kohës.
Nëse formati i formës YYYYMMDDDHHMMSS.0Z (lloji i gjeneralizuar i kohës për kodimin ASN.1) i përdorur për fushat whenChanged, WhenCreated GMT është mjaft i qartë, atëherë parametrat si lastLogon, pwdLastSet, accountExpires përfaqësojnë informacionin e datës dhe kohës në UNIX- 32-bit. format dhe përmbajnë sekondat e kaluara që nga 1 janari 1970, GMT. Për qartësi, ne paraqesim disa vlera që mund të përmbahen në skedarin e vlerave të ngarkuara për parametrat e datës dhe kohës në formatin UNIX:
126858492000000000 - korrespondon me 01/01/2003 00:00
127014876000000000 – korrespondon me 1.07.2003 00:00
127014912000000000 - korrespondon me 1.07.2003 01:00
Përdorimi i funksioneve të transformimit për të dhënat CSV
Mund të provoni të ngarkoni informacionin e llogarisë që është shkarkuar duke përdorur një komandë të ngjashme me atë të specifikuar në fillim të seksionit "Përdorimi i mjetit Csvde.exe" në Microsoft Access, megjithatë, për shkak të faktit se programi nuk e përpunon saktë " ,” karakteri ndarës në struktura si “CN=Bill Gates,CN=Users, DC=Microsoft,DC=com”, është më mirë të përdoren mundësi të ngjashme programet e Microsoft Excel (shih Fig. 1). Më tej, informacioni për lehtësinë e përdorimit mund të përpunohet duke përdorur Microsoft-in e disponueshëm Karakteristikat e Excel(makro, funksione).
Shifrat tregojnë informacionin e skedarit CVS menjëherë pasi të jetë ngarkuar në Microsoft Excel (Fig. 1) dhe pasi të jenë kryer transformimet (Fig. 2). Shembuj të transformimeve të tilla janë dhënë më poshtë. Opsionet e propozuara të transformimit nuk pretendojnë të jenë të plota logjikisht, por mund të jenë baza me ndihmën e së cilës mund të zhvillohet në një kohë të shkurtër mekanizmi i nevojshëm i përpunimit për çdo rast specifik.
Marrja e të dhënave nga struktura e fushës DN
Për të marrë një emër përdoruesi nga një strukturë si "...CN=UserName,..." në qelizën A2, mund të përdoret formula e mëposhtme e konvertimit:
PSTR(A2;
FIND("CN=";A2)+3;
FIND(","; A2;
FIND("CN="; A2)+3
) - FIND("CN=";A2) -3
Për të marrë informacion nga një strukturë e formës "...OU=Data,..." në qelizën A2, mund të përdoret formula e mëposhtme e konvertimit:
IF(EMPLANTY("0"!A2);"";
IF(ISERROR(FIND("OU=";"0"!A2)); "USERS";
PSTR("0"!A2;
FIND("OU=";"0"!A2)+3;
FIND(","; "0"!A2;
FIND("OU=";"0"!A2)+3) –
FIND("OU=";"0"!A2) -3
Përpunimi i të dhënave të datës dhe kohës së Unix
Ne propozojmë të marrim një datë në formatin DD.MM.VVVV bazuar në të dhënat në formatin Unix në dy faza. Në fazën e parë llogaritet numri i ditëve që kanë kaluar që nga 1 janari 2003. Në fazën e dytë krijohet një varg datash në një format standard.
Për të marrë numrin e ditëve që nga 1 janari 2003, bazuar në të dhënat në qelizën F2, të specifikuara në formatin e datës dhe orës Unix, mund të përdoret formula e mëposhtme e konvertimit:
NESE(
VALUE(LEFT(F2,11))=0;
ROUNDBOTTOM((VALUE(LEFT(F2,11))- 12685849200)/24/3600; 0)
Vlera e ndërrimit të ditës e marrë në fazën e parë në lidhje me 1 janar 2003 (në qelizën E2) përdoret për të gjeneruar datën në formatin standard.
IF(E2=-1;
"Mungon";
BASHKOHET(
DAY(DATEVALUE("1/1/2003")+E2);
".";
MUAJ(DATEVALUE("1/1/2003")+E2);
".";
YEAR(DATEVALUE("1/1/2003")+E2)
Përpunimi i të dhënave të datës dhe orës në formatin GeneralizedTime për kodimin ASN.1
Konvertimi i një numri në formatin YYYYMMDDMMSS.0Z në formatin DD.MM.YYYY HH:MM
BASHKOHET(
PSTR(N2;7;2); "."; PSTR(N2;5;2); "."; PSTR(N2;1;4); "";
PSTR(N2;9;2); ":"; PSTR(N2;11;2)
Përpunimi i vlerës së fushës userAccountControl për një hyrje të bllokuar
Marrja e të dhënave të statusit të llogarisë nga vlera e fushës userAccontControl që gjendet në qelizën G2:
IF(EMPLANTY(G2);"";
IF(ORG2=514; G2=66050);"Bllokuar","Aktiv")
Shpjegimet e hollësishme dhe përshkrimi i formatit të ruajtjes së të dhënave në fushën userAccountControl mund të gjenden në artikullin e Microsoft "Si të përdorni flamujt UserAccountControl për të manipuluar Llogaria e përdoruesit Karakteristikat" (http://support.microsoft.com/?kbid=305144). Thjesht vërejmë se nëse parametrat e llogarisë nuk janë specifikuar, atëherë vlera dhjetore e userAccountControl është 512; Vlera dhjetore për një llogari të bllokuar nëse nuk ka parametra të tjerë të disponueshëm është 514.
konkluzioni
Artikulli propozon një metodë mjaft të thjeshtë për marrjen e të dhënave për auditimin e llogarive të përdoruesve në Active Directory, e cila nuk kërkon aftësi të veçanta ose njohuri të gjuhëve të programimit.
Vini re se përveç metodës së përshkruar, mund të përdoret opsioni i rekomanduar nga Microsoft, i cili përfshin përdorimin e ndërfaqeve Shërbime aktive Shërbimet e Drejtorisë (ADSI), të cilat ofrojnë akses të thjeshtë, të fuqishëm, të orientuar nga objekti në burimet e Active Directory. Ndërfaqet ADSI lejojnë programuesit dhe administratorët të krijojnë programe direktorie duke përdorur mjetet nivel të lartë p.sh. Microsoft Bazë vizuale, Java, C ose Visual C++ pa u shqetësuar për dallimet në hapësirën e emrave. Ndërfaqet ADSI janë plotësisht të skriptueshme, duke i bërë ato të lehta për t'u përdorur nga administratorët.
Dhe së fundi, si rekomandime, ne rendisim ato nuanca që duhet t'i kushtoni vëmendje kur analizoni të dhënat e listës së përdoruesve që mund të tregojnë probleme ekzistuese kur përdorni llogaritë:
- llogaritë e bllokuara (pas analizës data e fundit regjistrimet mund të fshihen nëse nuk nevojiten më);
- informacioni i llogarisë që regjistrimi i fundit në internet ka ndodhur tre ose më shumë muaj më parë mund të tregojë se punonjësi që zotëronte llogarinë tashmë është pushuar nga puna;
- nëse numri i regjistrimeve në internet për një llogari është zero dhe ka kaluar më shumë se një muaj nga krijimi i saj, kjo mund të tregojë se llogaria e krijuar ishte e padeklaruar;
- Një numër i madh regjistrimesh në internet mund të tregojnë se llogaria po përdoret për t'u kyçur në rrjet nga më shumë se vetëm nga pronari.
Windows dhe AD kanë atribute që ju lejojnë të gjurmoni ngjarjet e regjistrimit të fillimit të sesionit të fundit, por analizimi i tyre kërkon shumë punë intensive. Një opsion përfshin marrjen e ngjarjeve të regjistrimit në çdo kontrollues domeni (DC) dhe renditjen e tyre sipas datës dhe përdoruesit për të identifikuar rastet më të fundit për çdo përdorues. Një tjetër mundësi është të kontrolloni vlerat e atributeve të përdoruesit të AD lastlogon, të cilat gjithashtu nuk riprodhohen nga kontrollorët e domenit. Prandaj, si në rastin e parë, vlerat e fundit të hyrjes do të duhet të merren nga çdo DC e një domeni të caktuar, dhe më pas do të duhet të ndahen rastet më të fundit për secilin përdorues.
Në Windows Server 2003 dhe versione të tjera që ekzekutohen në nivele më të larta funksionale të domenit, ekziston një atribut AD lastlogontimestamp që përsëritet midis kontrolluesit e domenit. Vlerat e këtij atributi ruhen si numra të plotë të gjatë (në momentin e shkrimit, vlera ime e atributit lastlogontimestamp është 129623232699932000), të cilat janë të vështira për t'u lexuar. Sidoqoftë, zhvilluesit e PowerShell për AD kanë ofruar një mënyrë për ta kthyer këtë numër në një vlerë vizuale të quajtur LastLogonDate, e cila duket kështu: E shtunë, 8 tetor 2011 13:07:18. Kjo vlerë arrihet nga Get-ADUser.
Duke e ditur këtë, ju mund të shfaqni një listë të përdoruesve të renditur sipas datës së regjistrimit të fundit në domen:
Get-aduser -f * -pr lastlogondate| sort -property lastlogondate|ft samaccountname, lastlogondate -auto
Kështu, ju mund të kërkoni çdo DC dhe të zbuloni nëse ka përdorues në domen që janë identifikuar për herë të fundit në domen, të themi, më 22 shtator 2011. Sidoqoftë, këtu ka disa nuanca. Atributi lastlogontimestamp u shtua në AD për përfitimin e administratorëve të AD që donin një mënyrë për të monitoruar ngjarjet e regjistrimit të fillimit të sesionit, por Redmond ishte i shqetësuar se shtimi i një lloj mekanizmi gjurmues do të rriste ndjeshëm trafikun e riprodhimit të AD.
Për të reduktuar trafikun e lidhur me përsëritjen e vlerave të atributeve lastlogontimestamp, kontrollorët e domenit e përditësojnë këtë vlerë jo më shumë se çdo 9 deri në 14 ditë. Sa herë që një përdorues identifikohet, DC shqyrton vulën aktuale të fundit të atij përdoruesi. DC pastaj zgjedh numër i rastësishëm ndërmjet 9 dhe 14. Nëse numri i ditëve ndërmjet ngjarjes së fundit të hyrjes dhe kohës aktuale është më i vogël se një numër i rastësishëm i zgjedhur, atëherë DC nuk përditëson vlerën e fundit të vulës së fundit për përdoruesi i dhënë. Kështu, vlera lastlogontimestamp e çdo përdoruesi përditësohet vetëm një herë afërsisht çdo 12 ditë, pavarësisht se sa shpesh ai përdorues e fillon seancën e tij gjatë gjithë kohës të kësaj periudhe. Këto të dhëna nuk janë shumë të sakta, por mund të zvogëlojnë trafikun e përsëritjes.
Le të themi se regjistrohem në mesditën e datës 20 janar 2012 dhe më parë nuk jam futur në domen që nga ora 9:00 e datës 9 janar të këtij viti. Pra, seanca ime nuk u regjistrua për 11.25 ditë. DC ime zgjedh një numër të rastësishëm midis 9 dhe 14 - le të themi 13.44. Ky numër (13.44) është më i madh se intervali kohor midis dy ngjarjeve të fundit të hyrjes (11.25), kështu që DC nuk e ndryshon vlerën time të vulës time të fundit pas të kësaj nisjeje sesioni. Kështu, atributi lastlogontimestamp, megjithëse sigurisht i dobishëm, mund të mbajë informacion të pasaktë për 14 ditë dhe nuk lejon identifikimin e përdoruesve që nuk janë regjistruar në domen gjatë dy javëve të fundit. Sidoqoftë, për të kërkuar përdorues joaktivë për, të themi, gjashtë muajt e fundit, është shumë i përshtatshëm.
Ju mund të praktikoni gjetjen e përdoruesve që nuk janë identifikuar në 180 ditët e fundit duke përdorur Get-ADUser, por zhvilluesit e AD PowerShell na e kanë bërë më të lehtë duke krijuar komandën search-adaccount për të ekzekutuar këtë pyetje:
Kërko-llogari-adaktive -accountinactive -personalisht -hapësirë kohore "195"
Kërkesa duket e thjeshtë, por skuadra ka dy pika jo të dukshme. Së pari, le të vërejmë thonjëza të dyfishta, rreth numrit 195 ( kërkesë e detyrueshme parametri -kohore). Së dyti, vini re numrin 195 në vend të 180. Gjithashtu mbani mend se atributi lastlogontimestamp disponohet vetëm për një domen me një nivel funksional të paktën Windows 2003. Komanda search-adaccount ka një veçori që kërkon shtimin e 15 në periudhën e kontrollit të pasivitetit ( në realitet, numri i shtuar nuk është saktësisht i barabartë me 15). Unë do të flas për atë që e shkaktoi këtë kërkesë, si të zbuloni vlerën e saktë të shtuar, si dhe një sintaksë alternative për kërkimin e përdoruesve joaktivë në artikullin vijues.
Mark Minasi (www.minasi.com/gethelp) - Redaktor i lartë Regjistri i Windows IT Pro, Inxhinier i Certifikuar i Sistemeve për Produktet e Microsoft
