Active Directory

Question

Как получить информацию об удаленных объектах из Active Directory с использованием LDAP.

Answer 1

Удаленные объекты хранятся в отдельном контейнере, для извлечения объектов посмотрите на этот технический сайт .

Это встроенная функция, которая должна иметь операционную систему Windows Server 2008 или выше.

Answer 2

Вы можете использовать DirectorySearcher для вывода списка удаленных объектов со свойством Tombstone, установленным в true

using(DirectorySearcher srch = new DirectorySearcher(de))
    {
        //to return only deleted objects otherwise you can give any valid LDAP filter
        srch.Filter = "isDeleted=TRUE";

        // Instruct the DirectorySearcher to return deleted objects
        srch.Tombstone = true;

        srch.FindAll();
        //...


}

Answer 3

Чтобы получить подробную информацию об удаленных объектах из активного каталога с использованием сервера LDAP, прежде чем получать подробности, мы должны знать об ограничениях администрирования. Эти ограничения администрирования, такие как InitRecvTimeout, MaxActiveQueries, MaxConnections, MaxConnIdleTime, MaxPageSize, MaxPoolThreads, MaxQueryDuration , MaxValRange.

Как только мы узнаем об ограничениях администрирования, мы сможем установить пользовательские настройки по умолчанию.

После этого перейдите и просмотрите текущий параметр политики ... в командной строке введите параметр LDAP, нажмите ввод, затем введите подключение, а затем, как только все подключения отобразятся там, и затем посмотрите, какое подключение не видно. Это будет сообщить вам, кто все пользователи удалены в LDAP.

Answer 4

К сожалению, не так много данных доступно из удаленного объекта. Из моего опыта осталось только достаточно данных, чтобы можно было реплицировать удаление на другие контроллеры домена. Вы можете получить то, что доступно через System.DriectoryServices. Часть этого, похоже, связана с безопасностью и нежеланием людей болтаться вокруг, глядя на старые предметы.

Answer 5

На MSDN есть хорошая статья о поиске надгробных объектов в Active Directory с использованием .NET framework DirectorySearcher class.

Answer 6

* Этот ответ приходит от Родни Андерсона , подрядчика, который сидит рядом со мной и, как оказалось, довольно хорошо знает AD. Он говорит, напишите ему по всем вопросам, которые у вас есть (ссылка предоставлена)

Используйте dsquery.

http://support.microsoft.com/kb/258310 (LDAP Query)

... другой метод - это DSquery из командной строки, используя следующую команду, вы сможете получить большинство атрибутов, которые остаются в надгробной плите (все в одной строке): просто помните, что этот запрос не обязательно вернуть все атрибуты, которые сохранены в надгробной плите - некоторые критические объекты и изменения в списке жестко закодированы и останутся в надгробной плите независимо от состояния флагов поиска. Это решение, которое я использовал, и потребуется некоторая настройка для их домена. dsquery * cn = схема, cn = конфигурация, dc = ваш домен, dc = com -filter "(& (objectClass = AttributeSchema) (searchFlags: 1.2.840.113556.1.4.803: = 8))" -область поддерево -attr имя