ActiveDirectoryユーザーパスワードの有効期限.NET / OUグループポリシー
サイトで情報を検索したところ、次のことがわかりました。 ASP.NET C#Active Directory-ユーザーのパスワードの有効期限が切れるまでの時間を確認してください
これは、ドメインポリシーに従って、パスワードの有効期限が切れたときの値を取得する方法を説明しています。
私の質問はこれです:ユーザーが異なるMaxPasswordAge値を持つOUグループポリシーを持っていて、ドメイングループポリシーで指定されたものを上書きした場合はどうなりますか? OUのグループポリシーオブジェクトをプログラムで取得するにはどうすればよいですか?
編集: この質問をもう少し明確にするために、この編集を追加します。私が求めているのは、ユーザーのパスワードの有効期限がいつ切れたかを知ることができるようにすることです。私が理解している限り、日付の値はドメインのローカルポリシーまたはグループオブジェクトポリシーのいずれかによって管理できます。 LinqをLdapクエリに変換するLinq2DirectoryServiceプロバイダーがあります。したがって、有効期限の値を取得するためのLDAPクエリは、このサブジェクトに最適です。 .netでサポートされているオブジェクトラッパーがこの方程式に含まれていると答えた場合、答えは死にます!
まず、 http://support.Microsoft.com/kb/32375 から始めましょう。これには、Visual BasicとVBScriptの例が含まれています http://www.anitkb.com/2010/03/ how-to-implement-active-directory.html これは、maxPwdAgeOU設定がユーザーではなくコンピューターにどのように影響するかを概説しています。また、パスワードの有効期間を取得するために使用できるMSのツールとして AloInfo.exe を指すコメントもあります。
次に例を示します。
using System;
using System.Collections.Generic;
using System.Linq;
using System.Text;
using System.DirectoryServices;
namespace LDAP
{
class Program
{
static void Main(string[] args)
{
string domainAndUsername = string.Empty;
string domain = string.Empty;
string userName = string.Empty;
string passWord = string.Empty;
AuthenticationTypes at = AuthenticationTypes.Anonymous;
StringBuilder sb = new StringBuilder();
domain = @"LDAP://w.x.y.z";
domainAndUsername = @"LDAP://w.x.y.z/cn=Lawrence E."+
" Smithmier\, Jr.,cn=Users,dc=corp,"+
"dc=productiveedge,dc=com";
userName = "Administrator";
passWord = "xxxpasswordxxx";
at = AuthenticationTypes.Secure;
DirectoryEntry entry = new DirectoryEntry(
domain, userName, passWord, at);
DirectorySearcher mySearcher = new DirectorySearcher(entry);
SearchResultCollection results;
string filter = "maxPwdAge=*";
mySearcher.Filter = filter;
results = mySearcher.FindAll();
long maxDays = 0;
if(results.Count>=1)
{
Int64 maxPwdAge=(Int64)results[0].Properties["maxPwdAge"][0];
maxDays = maxPwdAge/-864000000000;
}
DirectoryEntry entryUser = new DirectoryEntry(
domainAndUsername, userName, passWord, at);
mySearcher = new DirectorySearcher(entryUser);
results = mySearcher.FindAll();
long daysLeft=0;
if (results.Count >= 1)
{
var lastChanged = results[0].Properties["pwdLastSet"][0];
daysLeft = maxDays - DateTime.Today.Subtract(
DateTime.FromFileTime((long)lastChanged)).Days;
}
Console.WriteLine(
String.Format("You must change your password within"+
" {0} days"
, daysLeft));
Console.ReadLine();
}
}
}
次のコードは、ドメインユーザーアカウントとローカルユーザーアカウントの両方でパスワードの有効期限を取得するために機能しました。
public static DateTime GetPasswordExpirationDate(string userId, string domainOrMachineName)
{
using (var userEntry = new DirectoryEntry("WinNT://" + domainOrMachineName + '/' + userId + ",user"))
{
return (DateTime)userEntry.InvokeGet("PasswordExpirationDate");
}
}
アカウントの有効期限を取得するには、次の方法を使用してください-
public static DateTime GetPasswordExpirationDate(string userId)
{
string forestGc = String.Format("GC://{0}", Forest.GetCurrentForest().Name);
var searcher = new DirectorySearcher();
searcher = new DirectorySearcher(new DirectoryEntry(forestGc));
searcher.Filter = "(sAMAccountName=" + userId + ")";
var results = searcher.FindOne().GetDirectoryEntry();
return (DateTime)results.InvokeGet("PasswordExpirationDate");
}
以前の回答のいくつかは、DirectoryEntry.InvokeGetメソッドに依存しています MSは使用すべきではないと言っています 。したがって、別のアプローチがあります。
public static DateTime GetPasswordExpirationDate(UserPrincipal user)
{
DirectoryEntry deUser = (DirectoryEntry)user.GetUnderlyingObject();
ActiveDs.IADsUser nativeDeUser = (ActiveDs.IADsUser)deUser.NativeObject;
return nativeDeUser.PasswordExpirationDate;
}
通常C:\ Windows\System32\activeds.tlbにあるActiveDSCOMライブラリへの参照を追加する必要があります。