Найти дату / время последнего обновления адреса электронной почты в Active Directory

Question

Когда наши пользователи меняют свой пароль в AD LDS, через пользовательское приложение C #, мы также разрешаем им обновить свой адрес электронной почты.Есть ли способ определить дату / время обновления адреса электронной почты?Или нам просто нужно использовать значение LastPasswordSet?Нам нужно сравнить его с адресом электронной почты в нашей AS / 400 и синхронизировать его на основе того, какой адрес является самым последним.

Answer 1

Метаданные атрибута сообщат вам, когда атрибут был изменен (https://docs.microsoft.com/en-us/dotnet/api/system.directoryservices.activedirectory.attributemetadata?redirectedfrom=MSDN&view=netframework-4.7.2).

Я не знаю, как фильтровать на метаданных, но я обычно фильтруюна отметке времени whenChanged (или отметке времени, обновленной паролем в вашем случае), чтобы получить набор потенциальных изменений и отфильтровать нерелевантные объекты, используя метаданные для отслеживаемого атрибута.

// Grab all accounts updated since last batch cycle
// For each user, check LastOriginatingChangeTime of interesting attribute
// If LastOriginatingChangeTime >= last cycle, check value in target system
// If value in target system != value in AD, update target system with value from AD

Answer 2

Вы можете получить всю историю изменений учетной записи, просмотрев Windows Security Log Event ID 642 с сервера Windows Active Directory.( ссылка )