Comment trouver de nouveaux comptes Active Directory qui ont été réalisés au cours des 90 derniers jours?
Comment trouver de nouveaux comptes Active Directory qui ont été réalisés au cours des 90 derniers jours?
est-ce que quelqu'un sait qui faire cela? Je ne peux pas comprendre.
Merci d'avance.
Pour la postérité, DSQUERY est conçu pour ce type de recherche. L'annonce conserve un champ "QUATRED", ce qui facilite la recherche avec votre outil de choix.
dSQuery * -Filter "(quand> = 20101022083730.0z)"
Par exemple. Vous pouvez créer de manière programmable le tigramme basé sur maintenant - 90 jours.
Essayez ce qui suit pour tirer les utilisateurs créés au cours des 30 derniers jours.
Get-ADUser -Filter * -Properties whenCreated | Where-Object {$_.whenCreated -ge ((Get-Date).AddDays(-30)).Date}
Une alternative à la version PowerShell indiquée ci-dessus, qui est beaucoup plus efficace car elle ne charge pas tous les utilisateurs en mémoire avant de les filtrer (vous devez effectuer le filtre sur la cmdlet Get-Aduser directement et ne pas utiliser un objet d'utilisation):
$now = ((Get-Date).AddDays(-90)).Date
Get-ADUser -Filter {whenCreated -ge $now}
Utilisation de PowerShell et de Quest Activeroles Tools for Ad (trouvé ici - http://www.quest.com/powershell/acteroles-server.aspx ),
Get-QADUser -CreatedAfter (Get-Date).AddDays(-90)
vous donnera la sortie à la console ou où vous redirectez tous les utilisateurs créés au cours des 90 derniers jours.
Voici un exemple d'un autre site de quelqu'un de récupération de tous les comptes publicitaires triés par date de création:
http://www.experts-exchange.com/security/Operating_systems_security/windows/q_21117191.html
Vous pouvez obtenir la date de création pour chaque compte d'Active Directory. Chaque objet d'annonce a un attribut analysé et actualisé. Vous pouvez jeter ces attributs dans un fichier plat à l'aide de l'utilitaire LDIFDE, ou vous pouvez les jeter dans un fichier délimité par des virgules à l'aide de CSVDE (les deux utilitaires sont livrés avec Windows 2000).
Voici la syntaxe pour vider les deux attributs pour les objets utilisateur dans une ou appelé Phoenix dans un domaine appelé société.com à la console à visualisation (l'entrée entière doit être saisie comme une seule ligne):
lDIFDE -D OU = Phoenix, DC = Company, DC = COM -L à l'échec, lorsque -puis -P -P OnElevel -r "(ObjectCategory = utilisateur)" -f con
Si vous souhaitez enregistrer la vidange dans un fichier, modifiez le commutateur -f de Con vers un nom de fichier.
Le dernier horodatage de connexion utilise ce format: yyyymmddhhmmss, avec l'heure indiquée dans le temps coordonné universel. Un horodatage de 20040115182937.0z correspond au 15 janvier 2004 18:29:37 UCT.
Usrstat est lent et le rapport que vous obtenez doit être fusionné avec la décharge de LDIFDE. Donc, je mets ensemble un script qui recherche des objets utilisateur sur chaque contrôleur de domaine, puis répertorie l'heure de connexion locale et la durée de création. L'horodatage de connexion utilisateur nécessite la conversion d'un entier long. J'ai emprunté le code de conversion vient de Richard L. Mueller (www.rlmueller.net/programs). Le script complet de Richard prend également le fuseau horaire local du registre et convertit le temps de UCT en heure locale. Chic
En fait, toutes ces réponses ne vont pas fonctionner pour un grand environnement de production de production.
La réponse est d'utiliser DirSync: https://support.microsoft.com/en-us/help/891995/how-to-poll-for-Object-atribute-change-in-active-directory-on -Window
Voici un Java Mise en œuvre de la présente: https://docs.ldap.com/ldap-sdk/docs/javadoc/com/unboundd/ldap/sdk/experimental/activeDirectoryDirSyncControl .html
Fondamentalement, vous demandez continuellement une annonce pour des modifications basées sur un jeton incrémentiel.