仅检索 Active Directory 上已启用的帐户答案

【问题标题】：Retrieving only enabled accounts on active directory仅检索 Active Directory 上已启用的帐户
【发布时间】：2012-03-01 01:06:14
【问题描述】：

我想向 Microsoft 的 Active Directory（使用 Java）发送一个搜索字符串，上面写着“给我所有已启用帐户的用户。”

目前，我有：

String search_string = "(& (objectClass=user))";

但是，当然，这只会给我 AD 上的用户。我也想只得到那些活跃的人。它是用 Java 编写的，但我认为这对 LDAP 并不重要。

【问题讨论】：

您需要弄清楚“活动”在您的上下文中的含义并编码适当的 LDAP 查询。由于您尚未定义“活跃”的含义，因此我怀疑这里的任何人都可以帮助您。
感谢您的快速回复。代码的哪一部分决定了“活动”的定义方式？（通常，我创建一个 LDAP 属性对象，其中填充了用户名、密码和主机信息以获取 AD 连接。然后，我创建上下文和搜索查询并从 AD 获取我的响应。我有点困惑定义“活跃”是什么意思。）你能解释一下吗？（我可以提供我的代码，但我不知道哪些部分会被认为是相关的。）
您必须自己决定“活动”的含义以及它如何映射到您可以查询的 LDAP 属性。我们不知道您在上下文中所说的“活跃”是什么意思。
如果我完全误解了您，请告诉我，但我的意思是 Microsoft 的 Active Directory。我正在连接到服务器并提供上述搜索查询。
“活跃”这个词是什么意思？

【解决方案1】：

为了获得启用的用户，您必须检查 userAccountControl 属性，特别是它的第二位，它对应于 ACCOUNTDISABLE 标志。 MS KB 305144.

这可以通过 LDAP 过滤器来完成，如下所示：

(!(userAccountControl:1.2.840.113556.1.4.803:=2))

查看这篇关于 Filtering for Bit Fields 的文章，了解其工作原理的详细信息。

您还应该知道计算机帐户是从用户类型继承的，因此您应该在过滤器中添加一个条件，将它们过滤掉。您可能还需要检查 NORMAL_ACCOUNT 标志 (512) 的位，以过滤其他类型的帐户。

我不知道活跃用户是什么意思，所以我无法帮助你。

【讨论】：

【解决方案2】：

据我了解，这里是用于检查帐户是否活动的 Active-Directory 标准。

要在过滤器中使用此字段，您可以使用 LDAP_MATCHING_RULE_IN_CHAIN OID，如 Microsoft article Search Filter Syntax 中所述。

(&(objectCategory=person)(!(userAccountControl:1.2.840.113556.1.4.804:=18)))

【讨论】：