Das Erstellungsdatum eines Benutzerobjekts, kann aus dem Active Directory abgefragt werden.
Das Attribut in dem das Datum gespeichert wird, nennt sich When-Created und wird auf andere Domänencontroller,
sowie in den globalen Katalog (Global Catalog, GC) repliziert.
When-Created
How Can I Get a List of All the Objects that have been Added to Active Directory Since a Specified Date?
Ein ähnliches Attribut ist Create-Time-Stamp (RFC 2251). Es ist zwar im Schema definiert, aber es enthält selbst keinen Wert.
Die Attributwerte werden allerdings im Moment der Abfrage errechnet. Diese Art von Attribut wird „Operational Attribute“ oder
auch „Constructed Attribute“ genannt. Da das Attribut Create-Time-Stamp „constructed“ ist, kann es nicht repliziert werden.
Sein Wert wird auch nicht in den GC übertragen.
Um die Kompatibilität mit X.500/LDAP herzustellen, erhält man bei einer Abfrage des Attributs Create-Time-Stamp,
den Wert von When-Created zurück. Möchte man dieses Attribut per Skript abfragen, so muss dies explizit über die GetInfoEx Methode erfolgen.
MMC Snap-In „Active Directory-Benutzer und –Computer“
Recht einfach lässt sich das Erstellungsdatum eines Benutzerobjekts über die grafische Benutzerverwaltung anzeigen.
Im Snap-In „Active Directory-Benutzer und –Computer“ ist es notwendig, unter Ansicht die Option Erweiterte Funktionen zu aktivieren um somit,
weitere Registerkarten im Benutzerobjekt anzeigen zu lassen. Danach navigiert man zum Container Users
(worin standardmäßig die Benutzerobjekte gespeichert werden) bzw. zur Organisationseinheit (Organizational Unit, OU), in dem sich die Benutzerobjekte befinden. Anschließend ruft man, mit einem Rechtsklick auf das Benutzerobjekt, die Eigenschaften des Benutzers auf.
Im Reiter Objekt befindet sich der Eintrag “Erstellt am:”.
MMC Active Directory Service Interface Editor – ADSIEdit
Es ist ebenfalls möglich, mit ADSIEdit.msc (aus den Windows Support Tools) sich das Attribut anzeigen zu lassen. Dazu gilt es,
ADSIEdit.msc über Start – Ausführen – ADSIEdit.msc aufzurufen und sich mit der Domain-Partition zu verbinden (falls noch keine Verbindung besteht).
Als nächstes erweitert man die Einträge Domain [DC-Name.<Domäne>.<TLD>] sowie den Container DC=<Domäne>,DC=<TLD>.
Im Anschluss navigiert man zum Container CN=Users bzw. OU=<OU-Name> in dem sich die Benutzerobjekte befinden und wählt mit einem Rechtsklick
auf das Benutzerobjekt CN=<Benutzername>, die Eigenschaften aus. Nun kann man im Eigenschaften-Fenster des Benutzers,
dass Attribut whenCreated kontrollieren.
Befehlszeilen-Abfrage mit DSQUERY
Neben der grafischen Oberfläche, lässt sich das Attribut auch über die Befehlszeile abfragen.
Dazu bietet sich eines der DS-Tools, dass im Windows Server 2003 Betriebssystem integriert ist an. Das Tool das sich dazu eignet, lautet dsquery.
Der Befehl für die Abfrage, könnte folgendermaßen lauten (alles in einer Zeile):
dsquery * domainroot -filter “(&(objectClass=User)(objectCategory=Person))” -attr distinguishedName sAMAccountName whenCreated -Limit 0
Dsquery
How do I know what attribute names to use when performing a ‘DSQUERY *’?
Hinweis: Möchte man ausschließlich Benutzerobjekte angezeigt bekommen, so ist neben dem Attribut „ObjectClass=User”,
zusätzlich das Attribut „ObjectCategory=Person“ bzw. „ObjectCategory=User“ abzufragen.
Befehlszeilen-Abfrage mit ADFind
Ein weiteres Befehlszeilenprogramm, das auf keinem administrativen PC fehlen sollte, ist das von Joe Richards entwickelte Tool – ADFind.
Die Abfrage könnte z.B. folgendermaßen lauten:
Adfind -b DC=<Domäne>,DC=<TLD> -f “&(objectclass=user)(objectcategory=person)” sAMAccountName whencreated
Download: AdFind
Wie die Abfrage mit der AD-PowerShell aussieht, wird im folgenden Artikel beschrieben
Das Erstellungsdatum eines AD-Objekts mit der AD-PowerShell abfragen
Comments are closed, but trackbacks and pingbacks are open.