如何使用 LDAP 从 Active Directory 中获取已删除对象的详细信息。
【问题讨论】:
en-US 或 en-CA)。如果需要其他语言,发帖人或许可以将其转换为自己的语言。
标签: active-directory ldap
删除的对象存储在单独的容器中,要检索对象请查看this technet site。
它是内置功能,应具有Windows Server 2008或更高版本的操作系统。
【讨论】:
*这个答案来自Rodney Anderson,坐在我旁边的承包商,碰巧很了解AD。他说你有任何问题都给他发电子邮件(提供链接)
使用 dsquery。
http://support.microsoft.com/kb/258310(LDAP 查询)
...另一种方法是使用以下命令从命令行进行 DSquery,您应该能够检索保留在墓碑中的大多数属性(一行中的所有内容):请记住,此查询不一定返回保留在墓碑中的所有属性 - 列表的一些关键对象和更改是硬编码的,无论 searchflags 状态如何,都将保留在墓碑中。这是我使用的解决方案,需要对其域进行一些调整。 dsquery * cn=schema,cn=configuration,dc=yourcomin,dc=com -filter "(&(objectClass=AttributeSchema)(searchFlags:1.2.840.113556.1.4.803:=8))" -scope 子树 -attr 名称
【讨论】:
在 MSDN 上有一个 nice article 使用 .NET 框架 DirectorySearcher 类在 Active Directory 中查找 tombstone 对象。
【讨论】:
不幸的是,已删除的对象并没有那么多可用的数据。根据我的经验,只保留了大约足够的数据,以便能够将删除复制到其他 DC。您可以通过 System.DriectoryServices 获得可用的内容。其中一些似乎与安全有关,并且不希望人们四处寻找旧物品。
【讨论】:
要使用 LDAP 服务器从活动目录中获取已删除对象的详细信息,在获取详细信息之前,我们应该了解管理限制。这些管理限制例如 InitRecvTimeout、MaxActiveQueries、MaxConnections、MaxConnIdleTime、MaxPageSize、MaxPoolThreads、MaxQueryDuration ,MaxValRange。
一旦我们意识到管理的限制,我们应该能够默认用户设置。
在此之后查看当前策略设置...在命令提示符下键入 LDAP 设置按 Enter,然后键入连接,然后一旦所有连接都显示在那里,然后查看哪些所有连接不可见。这将让您知道在 LDAP 上删除了哪些所有用户。
【讨论】:
您可以使用 DirectorySearcher 列出 Tombstone 属性设置为 true 的已删除对象
using(DirectorySearcher srch = new DirectorySearcher(de))
{
//to return only deleted objects otherwise you can give any valid LDAP filter
srch.Filter = "isDeleted=TRUE";
// Instruct the DirectorySearcher to return deleted objects
srch.Tombstone = true;
srch.FindAll();
//...
}
【讨论】: