Активный каталог - атрибут ldap createTimeStamp в Windows Server 2008 R2 - PullRequest
Новая
       11

Активный каталог - атрибут ldap createTimeStamp в Windows Server 2008 R2

1 голос
/ 01 сентября 2010

Чтобы проверить, сколько пользователей было создано за последний год для определенного домена, я запросил, как показано ниже,

(&(objectCategory=person)(objectClass=user)(!(sAMAccountType=805306370))(createTimeStamp>=20090831022227.0Z))

У меня есть два контроллера домена, DC-1 - это Windows Server 2008, а DC-2 - это Windows Server 2008 R2, и этот запрос отлично работает с сервером 2008, и я обнаружил, что в прошлом году было 1500 новых пользователей, но в 2008 году Сервер R2 дает только 64 пользователя. Я выполнил поиск по уровню домена и различным уровням OU, и в результатах не было изменений (64), но пользователи были разными. Я также проверил с другими контроллерами домена, и для всех других серверов он работает нормально, и только один сервер 2008 R2 R2 дал то же число результатов, 64. Я также подтвердил, что это не проблема репликации.

Нужна помощь.

Ответы [ 2 ]

0 голосов
/ 08 сентября 2010

Для createTimeStamp:

(&(objectCategory=person)(objectClass=user)(!(sAMAccountType=805306370))(createTimeStamp>=20090831022227.0Z)), который будет получать только 64 пользователя независимо от домена / OU.

Для whenCreated:

(&(objectCategory=person)(objectClass=user)(!(sAMAccountType=805306370))(whenCreated>=20090831022227.0Z)), который будет выбирать всенедавно созданные пользователи.

Я все еще не понимаю, почему createTimeStamp ведет себя по-разному только для 2008 R2.

PS: функциональный уровень моего домена и функциональный уровень леса - 2008R2

0 голосов
/ 04 сентября 2010

Мне кажется странным, что вы используете !(sAMAccountType=805306370) в критериях поиска. Существуют разные значения для sAMAccountType. Для новой операционной системы поддерживаются новые значения (сравните http://msdn.microsoft.com/en-us/library/cc220839(PROT.13).aspx и http://msdn.microsoft.com/en-us/library/cc228417(PROT.13).aspx.. Кроме того, вы пишете об учетных записях пользователей, поэтому вас интересуют SAM_USER_OBJECT (0x30000000 или 805306368) .

Поэтому я предлагаю использовать запрос 

(&
  (objectCategory=person)
  (objectClass=user)
  (sAMAccountType=805306368)
  (createTimeStamp>=20090831022227.0Z)
)

и сравните результаты на обоих DC. Если у вас есть другие результаты, выберите несколько учетных записей, которые находятся в одном наборе, а не в другом, и выполните явный поиск этой учетной записи.

...