Как запросить удаленные объекты LDAP (Active Directory) с заданного времени?

Question

Мне нужно запросить дополнительные изменения в лесу Active Directory с использованием LDAP.

Легкая часть - это запрос дополнительных обновлений объектов и создание новых объектов. Для этого вы можете использовать whenChanged свойство

Пример:

(&(objectClass=user)(whenChanged>=20180501000000.0Z))

Пока все хорошо.

А как насчет запросов на удаленные записи? Есть ли способ запросить LDAP для всех элементов, удаленных с данного времени?

Я знаю о том, что Active Directory помечает объекты для удаления (на самом деле ничего не удаляет). И я знаю, что есть какой-то способ получить удаленные объекты: ( См. Это сообщение MSDN )

Но мне не особо повезло, когда я создал запрос LDAP, который на очень ванильном сервере каталогов мог получить список удаленных учетных записей.

Похожие: LDAP-запрос для удаленных пользователей

Я тоже попробовал это предложение:

(&(isDeleted=TRUE)(userAccountControl:1.2.840.113556.1.4.803:=512))

Все еще ничего.

Как я могу заставить эту работу?

Answer 1

Какой язык программирования вы используете для запроса? Кажется, это LDAP Extended Control (в частности, LDAP_SERVER_SHOW_DELETED_OID), который должен быть включен как часть свойств поиска, а не в самой строке запроса LDAP. Так что это зависит от реализации того, как вы ищете.

Например, в .NET класс DirectorySearcher имеет свойство Tombstone , которое включит это.

Или команда PowerShell Get-ADObject имеет -IncludeDeletedObjects.