スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

Active Directoryでユーザーアカウントを無効化した日時の属性があるか

ひょんなことから、Active Directoryでユーザーを無効化した日時が記録されるかを確認してみる事になりました。
結論としては、やはりActive Directoryのユーザーの属性に、無効化した日時の項目は無く、無効化した日時はわかりませんでした。

確認方法
  1. Windows Server 2012 R2ドメインコントローラーで、PowerShellのGet-ADUserコマンドレットを使ってユーザーアカウントの情報をエクスポート。
  2. 次にユーザーアカウントを無効化して、再度Get-ADUserコマンドレットを使ってユーザーアカウントの情報をエクスポート。
  3. さらに無効化されたユーザーアカウントを配置するOUを移動して、Get-ADUserコマンドレットでユーザーアカウントの情報をエクスポート。
  4. 3つのGet-ADUserの結果をExcelでセルごとに値を比較。
では結果を見てみましょう。
(写真1)Active Directoryのユーザー情報をGet-ADUserで比較
Active Directoryのユーザー情報をGet-ADUserで比較(1/3)
Active Directoryのユーザー情報をGet-ADUserで比較(2/3)
Active Directoryのユーザー情報をGet-ADUserで比較(3/3)
ユーザーアカウントを無効化するとEnabledがTRUEからFALSEに変化します。
これはまあ当然ですね。

Modified、modifyTimeStamp、whenChangedもユーザーアカウントを無効化した日時が記録されるんですが、あくまでも最終更新日時です。
無効化した後にユーザーを配置するOUを移動すると、これらの値もまた更新されます。
結果として、Active Directoryのユーザー情報の属性から、ユーザーアカウントを無効化した日時を後から知る事は出来なかったです。
まあ予想通りですが。

ユーザーアカウントを無効化すると、userAccountControlの値が66048から66050に変化します。
UserAccountControlはユーザーアカウントのオプション設定を表現するビットフラグです。

UserAccountControlの解説は、このサポート技術情報が参考に。

http://support.microsoft.com/kb/305144/ja
UserAccountControl フラグを使用して、ユーザー アカウントのプロパティを操作する方法


UserAccountControlの値を16進数で表現すると、こうなります。
無効化前:10200
無効化後:10202

上記のサポート技術情報によると、ACCOUNTDISABLEが0x0002です。
つまりユーザーアカウントが無効化されると、UserAccountControlに0x0002が加算されるわけですから、UserAccountControlが66048から66050に変化した原因はこれでした。
無効化された日時と関係はなさそうです。

uSNChangedは更新シーケンス番号のようです。
したがってこれもユーザーアカウントが無効化された日時とは関係ないですね。

uSNChangedについてはここで解説されています。

http://www-01.ibm.com/support/knowledgecenter/SSCQGF_7.1.1/com.ibm.IBMDI.doc_7.1.1/referenceguide11.htm
IBM Knowledge Center - Active Directory 変更検出コネクター



以下は参考です。
ユーザーアカウントを無効化したり、その後でユーザーを配置するOUを移動したりした時の画面のハードコピーです。

(写真2)ユーザーアカウントを無効化
ユーザーアカウントを無効化

(写真3)ユーザーアカウントを無効化後にOUを移動(1/3)
ユーザーアカウントを無効化後にOUを移動(1/3)

(写真4)ユーザーアカウントを無効化後にOUを移動(2/3)
ユーザーアカウントを無効化後にOUを移動(2/3)

(写真5)ユーザーアカウントを無効化後にOUを移動(3/3)
ユーザーアカウントを無効化後にOUを移動(3/3)

結果としては無効化した日を記録している属性は無いと言う事がわかりました。
無効化してから一定期間経過したユーザーを削除するなどを考えていたのですが、それは難しそうですね。
ユーザーのプロパティの説明の欄に、無効化した日付をメモとして書き込んでおくなどが現実的な対処法かもしれません。


【参考】
「Get-ADUser "TEST001" -Properties *」コマンドで、TEST001ユーザーの詳細情報を表示したところです。(続きを読む)

これはTEST001ユーザーアカウントを無効化にした後、TEST001をUsersコンテナからOU_TEST01に移動した後の情報です。
Windows PowerShell
PS C:\> Get-ADUser "TEST001" -Properties *


AccountExpirationDate                : 2015/12/31 0:00:00
accountExpires                       : 130959612000000000
AccountLockoutTime                   :
AccountNotDelegated                  : False
AllowReversiblePasswordEncryption    : False
AuthenticationPolicy                 : {}
AuthenticationPolicySilo             : {}
BadLogonCount                        : 0
badPasswordTime                      : 0
badPwdCount                          : 0
CannotChangePassword                 : False
CanonicalName                        : test01.local/OU_TEST01/TEST001
Certificates                         : {}
City                                 :
CN                                   : TEST001
codePage                             : 0
Company                              :
CompoundIdentitySupported            : {}
Country                              :
countryCode                          : 0
Created                              : 2015/01/17 18:22:52
createTimeStamp                      : 2015/01/17 18:22:52
Deleted                              :
Department                           :
Description                          :
DisplayName                          : TEST001
DistinguishedName                    : CN=TEST001,OU=OU_TEST01,DC=test01,DC=loc
                                       al
Division                             :
DoesNotRequirePreAuth                : False
dSCorePropagationData                : {2015/05/10 19:25:45, 2015/02/22 11:48:1
                                       0, 2015/02/22 11:47:21, 1601/01/01 9:00:
                                       00}
EmailAddress                         :
EmployeeID                           :
EmployeeNumber                       :
Enabled                              : False
Fax                                  :
GivenName                            :
HomeDirectory                        :
HomedirRequired                      : False
HomeDrive                            :
HomePage                             :
HomePhone                            :
Initials                             :
instanceType                         : 4
isDeleted                            :
KerberosEncryptionType               : {}
LastBadPasswordAttempt               :
LastKnownParent                      :
lastLogoff                           : 0
lastLogon                            : 130659974567834475
LastLogonDate                        : 2015/01/17 18:24:42
lastLogonTimestamp                   : 130659602829386763
LockedOut                            : False
logonCount                           : 9
LogonWorkstations                    :
Manager                              :
MemberOf                             : {}
MNSLogonAccount                      : False
MobilePhone                          :
Modified                             : 2015/05/10 19:25:45
modifyTimeStamp                      : 2015/05/10 19:25:45
msDS-User-Account-Control-Computed   : 0
Name                                 : TEST001
nTSecurityDescriptor                 : System.DirectoryServices.ActiveDirectory
                                       Security
ObjectCategory                       : CN=Person,CN=Schema,CN=Configuration,DC=
                                       test01,DC=local
ObjectClass                          : user
ObjectGUID                           : b338e320-e3f1-48ac-998a-963402108b6e
objectSid                            : S-1-5-21-39158091-4092441004-368166152-4
                                       606
Office                               :
OfficePhone                          :
Organization                         :
OtherName                            :
PasswordExpired                      : False
PasswordLastSet                      : 2015/01/17 18:22:52
PasswordNeverExpires                 : True
PasswordNotRequired                  : False
POBox                                :
PostalCode                           :
PrimaryGroup                         : CN=Domain Users,CN=Users,DC=test01,DC=lo
                                       cal
primaryGroupID                       : 513
PrincipalsAllowedToDelegateToAccount : {}
ProfilePath                          :
ProtectedFromAccidentalDeletion      : False
pwdLastSet                           : 130659601724167256
SamAccountName                       : TEST001
sAMAccountType                       : 805306368
ScriptPath                           :
sDRightsEffective                    : 15
ServicePrincipalNames                : {}
SID                                  : S-1-5-21-39158091-4092441004-368166152-4
                                       606
SIDHistory                           : {}
SmartcardLogonRequired               : False
sn                                   : TEST001
State                                :
StreetAddress                        :
Surname                              : TEST001
Title                                :
TrustedForDelegation                 : False
TrustedToAuthForDelegation           : False
UseDESKeyOnly                        : False
userAccountControl                   : 66050
userCertificate                      : {}
UserPrincipalName                    : TEST001@test01.local
uSNChanged                           : 159795
uSNCreated                           : 103155
whenChanged                          : 2015/05/10 19:25:45
whenCreated                          : 2015/01/17 18:22:52



PS C:\>

関連記事

テーマ : Windows
ジャンル : コンピュータ

コメントの投稿

非公開コメント

テスト中

全ての記事を表示する

ブロとも申請フォーム

ブログ検索
プロフィール

norimaki2000

norimaki2000のブログにようこそ
・2013/01/05テンプレートをsantaからhouseに変更
・2012/10/29テンプレートをsweet_donutsからsantaに変更
Follow norimaki2000 on Twitter気軽に話しかけてね

ニューヨーク・マンハッタン(タイムズスクェア)180×135

千葉県在住で東京都内に勤務。SE歴20年超えました。

昔々はオフコンで販売管理などのアプリケーション開発してた。
ファミリーレストランの無線オーダリングやPOS、キッチンプリンタの全国展開なんかもやっていました。
数年前まではWindows上のアプリケーション展開が多かったかな。
ここ数年はWindowsサーバーを中心としたサーバーインフラの提案・構築・保守を中心にやってます。
主な取り扱い製品は、
・Windows 2000 Server以降 (もちろんNT3.5やNT4.0も知っていますが)
・Active Directory (今で言うAD DS)
・Symantec Backup Exec
・Symantec System Recovery
・CA ARCserve Backup for Windows
・CA ARCserve Replication
・CA ARCserve D2D
・EMC RepliStor
・VMware vSphere
・某メーカーのクラスタソフトウェア

どれもこれも中途半端な知識と技術力ですが、なんとかやっています。
私自身は技術や製品を担当する立場ではなく、特定業種のお客さん(ユーザ企業)の対応窓口となるSEの役割りですから、必要であれば詳しい知識や経験豊富な別のSEを探してきてプロジェクトメンバに加えます。

もちろん小さな物件では自分で提案、インストール、お客さんへの導入、アフターサポートまでやります。
大きな物件では提案はやりますが、構築部分は専門部隊に依頼します。
その場合でもアフターサポート窓口は私がやりますので、お客さんに対しては一貫して窓口SEとなります。

サーバの世界の大きなトレンドは統合・仮想化。
2007年はVirtual Server 2005 R2によるサーバ仮想化も、2つのお客さんで本稼動させた。
2008年はVMware ESX 3.5を2セット構築。単純なローカル起動と、SANブート/VMotion/DRS/HA/VCBのフル装備もやった。
2009年はぜひHyper-Vの仮想環境を構築したいな。と思っていたが、なかなか機会に恵まれなかった。
2010年はVMware ESX 4.0でHA/VMotion/VCBバックアップを進行中。

そのほかにも、ドメインコントローラやファイルサーバの全国展開とデータ移行、特定のアプリケーションの実行基盤となるサーバ群のOS・バックアップ・DBクラスタなどインフラ部分の構築などをやっています。


2011年のポイントも引き続き、【ご利用は計画的に】。
今まで長年に渡って仕事も私生活も行き当たりばったりなので、少しでも物事を計画的に進められるようにしたい。
いつも計画性の無さが災いして多くの人に迷惑をかけています。
自分自身も計画的な仕事ができないため、いつもいろいろ苦労しています。
今年はさらに計画的に仕事をするようにしなきゃ。

それと若手を上手に使うようにならなきゃならん。
若手の育成はもちろんだけど、僕自身も仕事を上手に他の人に振ることができるようになりたい。
仕事の種類のせいなのか性格なのか、どうしても一人で抱え込んでしまうから。

【Twitter】2010年の元旦から始めました。平均して1日あたり10ツィート程度です。
仕事関連の呟きが少し、くだらない呟きがほとんどかな。
Follow norimaki2000 on Twitter
・norimaki2000 on Twitter

Follow norimaki2000 on Twitter
・norimaki2000 on Twilog


オンライン上ではあるけれど、今まで知らなかった人たちと交流する機会を得ることになり、非常に刺激を受けます。
仕事でも私生活でも、いろんな人のつぶやきは息抜きにもなり、また助けられたり、あるいは「もっとがんばんなきゃ」と励みになったりします。
Twitterを考え出した人の発想、システムとして作り上げた努力と情熱はすごい!!


【好きな音楽】ベテランの皆さんなら浜田省吾、尾崎豊、エコーズ、若手なら鬼束ちひろ、平原綾香、現在注目の若手はいきものがかり

【好きなアイドル】千葉県柏市を中心に活動する地元アイドルの「コズミック☆倶楽部」を激推し中です。

【好きな飲み物】シャンパンはご存知モエ・エ・シャンドン ブリュット アンペリアル、ビールはキリン ブラウマイスター、水ならビッテル、お茶ならキリン生茶

【好きなTVドラマ】Xファイル、24、ミレニアム、ER、CSI:科学捜査班シリーズ、NCIS:ネイビー犯罪捜査班、ザ・プラクティス、ボストン・リーガル



パソコン困り事相談もよろしく


最近の記事
最近のコメント
カレンダー
04 | 2017/05 | 06
- 1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30 31 - - -
カテゴリー
FC2カウンター
キーワード

Windows_Server VMware_ESX VMware vCenter_Server VMware_Player PowerShell PowerCLI vSphere_Client VirtualCenter Active_Directory vStorage_API Converter Windows 文音 Hyper-V Microsoft_Security_Essentials コズミック☆倶楽部 Windows_8 Backup_Exec VMware_Converter vSphere sora カラオケ なるみん あいひょん SQL_Server Windows_Server_2012 System_Center VCB Red_Hat_Enterprise_Linux Tech_Fielders メモリダンプ System_Recovery ESX ARCserve_Backup Internet_Explorer VMware_vSphere RHEL ジン子 マークス vSphere_CLI VMware_HA Exec Directory Firefox vMotion Oracle Active Symantec Server Backup Sysinternals NTFS Twitter Oracle_Database vCenter_Converter wevtutil コズミック倶楽部 DMC-FZ1000 schtasks XenServer キリン 若手 remi 麗美 Recovery Visual_Studio Windows_Update Office System SE Vista DRS 氷結 スリムス フィット グランダム 掃除 セルシオ 洗濯 のどごし生 洗車 サッポロ ロッキー おやつカンパニー カルディ スパークリングウォーター ベビースター おとなのおつまみ 白石美帆 経済産業省 えびしお corega セキュリティ ついにステップワゴンを契約してしまった 糖質 一番搾り食物繊維 スタローン 東京国際フォーラム スパリゾートハワイアンズ サクセス カーナビ ラガー 人口甘味料 コロン ブラックホーク・ダウン ジョシュ・ハートネット ハワイ 神戸 北野 献血 けんけつちゃん シャンプー台のむこうに デュポン 映画 東京タワー 写真 マッハ ムエタイ はばたき福祉事業団 ワイヤーアクション お茶のチューハイ バルボア キャンプ 万座温泉 夏休み 草津 鬼押し出し園 カーポート 高原 バーベキュー 関西空港 羽田 グレープフルーツ ウォーター ポケモン・スタンプラリー 伊藤園 日本赤十字社  サーバ 雨どい Resource ARCserve_D2D ARCserve_Replication VMFS バックアップ Virtual_Infrastructure SkyDrive vStorag_API OpenOffice.org ジャンプフェスタ XP Word Uptime.exe ULPC OEM ITIL DSP グループポリシー Apache 浜田省吾 Linux VMware_ESXi OneDrive HUAWEI れみ GR5 IP38X/N500 NVR500 バッチ Tween OpenOffice iStorage Windows_Azure AWS robocopy USB2.0 USB CDRW-AB24JL CD CAB CG CR-V DVD CoolMax Brio ATAPI 破損 2008 オレッツァ 修復 圧縮 0x0000007B コマンドライン Gathers Hyperion STOPエラー SAP Paper.li SUPPLEX SweetGrass Tools Thunderbird Replication PCI Kit IZZE IDE NR-7900A NetBackup PC-Success OREZZA エイドリアン 

月別アーカイブ
リンク
RSSフィード
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。