Jump to content

AD Attribute vermisst


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo Community,

 

ich stehe etwas auf dem Schlauch und mit der schleichenden Angst mich selbst zu disqualifizieren beschreibe ich mein folgendes Problem:

 

Auf meinem Testsystem möchte ich einen Powershell - Befehl ausführen welcher unter anderem per "get-aduser" Benutzer herausfiltert.

Hierbei wird u.A. "Enabled = $True" und "PasswordNeverExpires = $False" abgefragt. Ich erhalte jedoch als Ergebnis nur die Domain Admins aus der OU "Administrators" und keinen einzigen Domain User.

Mir ist nun aufgefallen, dass diese beiden Attribute (und noch ein paar andere die ich benötige) überhaupt nicht im Attribute Editor der User aufgeführt werden. Stimmt hier etwas mit dem Schema nicht oder mache ich generell etwas falsch?

Umgebung ist ein DC Windows 2012 auf selbigem Funktionslevel.

 

Grüße und Danke.

Link zu diesem Kommentar

Danke für deine Antwort. Advanced Features waren aktiviert. Auch die Variable "properties" hilft nicht.

 

get-aduser -identity "mein Domain User Account" -> Attribut "Enabled" taucht nicht auf

get-aduser -identity "mein Domain Admin Account" -> Attribut "Enabled" wird aufgeführt.

 

Selbiges mit dem Zusatz " -properties * ", beim Domain User steht lediglich das Attribut "PasswordLastSet wohingegen beim Domain Admin Account hier auch "PasswordExpired" und "PasswordNeverExpires" aufgeführt werden.

Link zu diesem Kommentar

Moin,

 

es gibt kein Attribut "enabled" und auch kein Attribut "password never expires". Diese Eigenschaften sind in dem Attribut userAccountControl binär kodiert.

 

Die PowerShell nutzt Pseudo-Attribute, um den Umgang damit zu erleichtern.

 

Mein Doku-Tool José wertet diese Eigenschaften aus, einige andere tun das auch.

http://www.faq-o-matic.net/jose/

 

Gruß, Nils

bearbeitet von NilsK
Link zu diesem Kommentar

Stimmt. In 2012 r2 geht es mit

 

"get-aduser -identity karl -properties enabled,passwordneverexpires | fl Name,enabled,passwordneverexpires"

 

in der Powershell und gibt dann

 

"Name: Karl

enabled: True

passwordneverexpires: True"

 

aus.


Edit:

 

Oder wenn man viele auf spezielle properties mit bestimmten Werten abfragen will, dann z.B.

 

"get-aduser -filter * | where-object -property "enabled" -eq $true | ft Name,enabled"

 

Listet dann alle mit enabled true in einer Tabelle mit zwei Spalten auf, links der Name, rechts Wert für enabled.

Link zu diesem Kommentar

Vielen Dank für eure Antworten. Mit "get-aduser -identity "Karl" -properties enabled,passwordneverexpires | fl Name,enabled,passwordneverexpires" erhalte ich nur:

 

Name: Karl

enabled:

passwordneverexpires:

 

und das obwohl Karl Enabled ist und auch den Haken bei Password never expires gesetzt hat.

 

Mit "get-aduser -filter * | where-object -property "enabled" -eq $true | ft Name,enabled" werden auch nur wieder die Domain Admins aus der OU "Administrators" ausgegeben, kein einziger Domain User.

 

Gleiches Spiel mit Nils' Doku - Tool (was ich schon seit längerem gerne nutze, danke hierfür an dieser Stelle). Bei den Domain Admins werden Kontenattribute wie z.B. "ADS_UF_DONT_EXPIRE_PASSWD" angezeigt, bei den Usern fehlen diese.

Link zu diesem Kommentar

Moin,

 

gut, das ist schon mal konsistent. Ich kann mir nicht recht erklären, warum die PowerShell und die anderen Tools das nicht ausgeben.

 

Sind in eurem AD evtl. die Zugriffsberechtigungen angepasst? Normalerweise sind die genannten Attribute ganz normal für Authentifizierte Benutzer lesbar, wenn ich nicht irre.

Vielleicht liegt es aber auch an "Prä-Windows 2000-kompatibler Zugriff", das kann ich gerade nicht nachverfolgen. Wer ist denn in deinem AD in dieser Gruppe Mitglied?

 

Gruß, Nils

bearbeitet von NilsK
Link zu diesem Kommentar

Moin,

 

Mit den Filtern "Verbindlich" und "Optional" im AD-Benutzer-Computer auf einen ACC Eigenschaften des Users im Reiter "Attribut-Editor" hat es mal nichts zu tun. Die Powershell kann dann trotzdem auslesen.

 

das steuert ja auch nur die Anzeige im Attribut-Editor (bzw. in ADSI Edit, wo der Editor herkommt). Das ist keine Funktion, sondern ein Anzeigefilter (der sich auf die Schema-Definition der Attribute bezieht: sind sie "verbindlich", müssen also beim Objekt vorhanden sein, oder sind sie "optional", können also leer bleiben).

 

Gruß, Nils

Link zu diesem Kommentar

Moin,

 

 

das steuert ja auch nur die Anzeige im Attribut-Editor (bzw. in ADSI Edit, wo der Editor herkommt). Das ist keine Funktion, sondern ein Anzeigefilter (der sich auf die Schema-Definition der Attribute bezieht: sind sie "verbindlich", müssen also beim Objekt vorhanden sein, oder sind sie "optional", können also leer bleiben).

 

Gruß, Nils

 

Yep.

 

Wie ist es mit

 

ADS_RIGHT_DS_READ_PROP +

 

Damit kann man ja auch Berechtigungen setzen welche properties eines Objektes von wem gelesen werden können. Naja, ich hör mal auf zu spammen :)

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...