Active Directoryでユーザーアカウントを無効化した日時の属性があるか

ひょんなことから、Active Directoryでユーザーを無効化した日時が記録されるかを確認してみる事になりました。
結論としては、やはりActive Directoryのユーザーの属性に、無効化した日時の項目は無く、無効化した日時はわかりませんでした。

確認方法
  1. Windows Server 2012 R2ドメインコントローラーで、PowerShellのGet-ADUserコマンドレットを使ってユーザーアカウントの情報をエクスポート。
  2. 次にユーザーアカウントを無効化して、再度Get-ADUserコマンドレットを使ってユーザーアカウントの情報をエクスポート。
  3. さらに無効化されたユーザーアカウントを配置するOUを移動して、Get-ADUserコマンドレットでユーザーアカウントの情報をエクスポート。
  4. 3つのGet-ADUserの結果をExcelでセルごとに値を比較。
では結果を見てみましょう。
(写真1)Active Directoryのユーザー情報をGet-ADUserで比較
Active Directoryのユーザー情報をGet-ADUserで比較(1/3)
Active Directoryのユーザー情報をGet-ADUserで比較(2/3)
Active Directoryのユーザー情報をGet-ADUserで比較(3/3)
ユーザーアカウントを無効化するとEnabledがTRUEからFALSEに変化します。
これはまあ当然ですね。

Modified、modifyTimeStamp、whenChangedもユーザーアカウントを無効化した日時が記録されるんですが、あくまでも最終更新日時です。
無効化した後にユーザーを配置するOUを移動すると、これらの値もまた更新されます。
結果として、Active Directoryのユーザー情報の属性から、ユーザーアカウントを無効化した日時を後から知る事は出来なかったです。
まあ予想通りですが。

ユーザーアカウントを無効化すると、userAccountControlの値が66048から66050に変化します。
UserAccountControlはユーザーアカウントのオプション設定を表現するビットフラグです。

UserAccountControlの解説は、このサポート技術情報が参考に。

http://support.microsoft.com/kb/305144/ja
UserAccountControl フラグを使用して、ユーザー アカウントのプロパティを操作する方法


UserAccountControlの値を16進数で表現すると、こうなります。
無効化前:10200
無効化後:10202

上記のサポート技術情報によると、ACCOUNTDISABLEが0x0002です。
つまりユーザーアカウントが無効化されると、UserAccountControlに0x0002が加算されるわけですから、UserAccountControlが66048から66050に変化した原因はこれでした。
無効化された日時と関係はなさそうです。

uSNChangedは更新シーケンス番号のようです。
したがってこれもユーザーアカウントが無効化された日時とは関係ないですね。

uSNChangedについてはここで解説されています。

http://www-01.ibm.com/support/knowledgecenter/SSCQGF_7.1.1/com.ibm.IBMDI.doc_7.1.1/referenceguide11.htm
IBM Knowledge Center - Active Directory 変更検出コネクター



以下は参考です。
ユーザーアカウントを無効化したり、その後でユーザーを配置するOUを移動したりした時の画面のハードコピーです。

(写真2)ユーザーアカウントを無効化
ユーザーアカウントを無効化

(写真3)ユーザーアカウントを無効化後にOUを移動(1/3)
ユーザーアカウントを無効化後にOUを移動(1/3)

(写真4)ユーザーアカウントを無効化後にOUを移動(2/3)
ユーザーアカウントを無効化後にOUを移動(2/3)

(写真5)ユーザーアカウントを無効化後にOUを移動(3/3)
ユーザーアカウントを無効化後にOUを移動(3/3)

結果としては無効化した日を記録している属性は無いと言う事がわかりました。
無効化してから一定期間経過したユーザーを削除するなどを考えていたのですが、それは難しそうですね。
ユーザーのプロパティの説明の欄に、無効化した日付をメモとして書き込んでおくなどが現実的な対処法かもしれません。


【参考】
「Get-ADUser "TEST001" -Properties *」コマンドで、TEST001ユーザーの詳細情報を表示したところです。(続きを読む)

これはTEST001ユーザーアカウントを無効化にした後、TEST001をUsersコンテナからOU_TEST01に移動した後の情報です。
Windows PowerShell
PS C:\> Get-ADUser "TEST001" -Properties *


AccountExpirationDate                : 2015/12/31 0:00:00
accountExpires                       : 130959612000000000
AccountLockoutTime                   :
AccountNotDelegated                  : False
AllowReversiblePasswordEncryption    : False
AuthenticationPolicy                 : {}
AuthenticationPolicySilo             : {}
BadLogonCount                        : 0
badPasswordTime                      : 0
badPwdCount                          : 0
CannotChangePassword                 : False
CanonicalName                        : test01.local/OU_TEST01/TEST001
Certificates                         : {}
City                                 :
CN                                   : TEST001
codePage                             : 0
Company                              :
CompoundIdentitySupported            : {}
Country                              :
countryCode                          : 0
Created                              : 2015/01/17 18:22:52
createTimeStamp                      : 2015/01/17 18:22:52
Deleted                              :
Department                           :
Description                          :
DisplayName                          : TEST001
DistinguishedName                    : CN=TEST001,OU=OU_TEST01,DC=test01,DC=loc
                                       al
Division                             :
DoesNotRequirePreAuth                : False
dSCorePropagationData                : {2015/05/10 19:25:45, 2015/02/22 11:48:1
                                       0, 2015/02/22 11:47:21, 1601/01/01 9:00:
                                       00}
EmailAddress                         :
EmployeeID                           :
EmployeeNumber                       :
Enabled                              : False
Fax                                  :
GivenName                            :
HomeDirectory                        :
HomedirRequired                      : False
HomeDrive                            :
HomePage                             :
HomePhone                            :
Initials                             :
instanceType                         : 4
isDeleted                            :
KerberosEncryptionType               : {}
LastBadPasswordAttempt               :
LastKnownParent                      :
lastLogoff                           : 0
lastLogon                            : 130659974567834475
LastLogonDate                        : 2015/01/17 18:24:42
lastLogonTimestamp                   : 130659602829386763
LockedOut                            : False
logonCount                           : 9
LogonWorkstations                    :
Manager                              :
MemberOf                             : {}
MNSLogonAccount                      : False
MobilePhone                          :
Modified                             : 2015/05/10 19:25:45
modifyTimeStamp                      : 2015/05/10 19:25:45
msDS-User-Account-Control-Computed   : 0
Name                                 : TEST001
nTSecurityDescriptor                 : System.DirectoryServices.ActiveDirectory
                                       Security
ObjectCategory                       : CN=Person,CN=Schema,CN=Configuration,DC=
                                       test01,DC=local
ObjectClass                          : user
ObjectGUID                           : b338e320-e3f1-48ac-998a-963402108b6e
objectSid                            : S-1-5-21-39158091-4092441004-368166152-4
                                       606
Office                               :
OfficePhone                          :
Organization                         :
OtherName                            :
PasswordExpired                      : False
PasswordLastSet                      : 2015/01/17 18:22:52
PasswordNeverExpires                 : True
PasswordNotRequired                  : False
POBox                                :
PostalCode                           :
PrimaryGroup                         : CN=Domain Users,CN=Users,DC=test01,DC=lo
                                       cal
primaryGroupID                       : 513
PrincipalsAllowedToDelegateToAccount : {}
ProfilePath                          :
ProtectedFromAccidentalDeletion      : False
pwdLastSet                           : 130659601724167256
SamAccountName                       : TEST001
sAMAccountType                       : 805306368
ScriptPath                           :
sDRightsEffective                    : 15
ServicePrincipalNames                : {}
SID                                  : S-1-5-21-39158091-4092441004-368166152-4
                                       606
SIDHistory                           : {}
SmartcardLogonRequired               : False
sn                                   : TEST001
State                                :
StreetAddress                        :
Surname                              : TEST001
Title                                :
TrustedForDelegation                 : False
TrustedToAuthForDelegation           : False
UseDESKeyOnly                        : False
userAccountControl                   : 66050
userCertificate                      : {}
UserPrincipalName                    : TEST001@test01.local
uSNChanged                           : 159795
uSNCreated                           : 103155
whenChanged                          : 2015/05/10 19:25:45
whenCreated                          : 2015/01/17 18:22:52



PS C:\>

関連記事

テーマ : Windows
ジャンル : コンピュータ

コメントの投稿

非公開コメント

テスト中

全ての記事を表示する

ブロとも申請フォーム

ブログ検索
プロフィール

norimaki2000

norimaki2000のブログにようこそ
・2013/01/05テンプレートをsantaからhouseに変更
・2012/10/29テンプレートをsweet_donutsからsantaに変更
Follow norimaki2000 on Twitter気軽に話しかけてね

ニューヨーク・マンハッタン(タイムズスクェア)180×135

千葉県在住で東京都内に勤務。SE歴20年超えました。

昔々はオフコンで販売管理などのアプリケーション開発していた。
ファミリーレストランの無線オーダリングやPOS、キッチンプリンタの全国展開なんかもやっていました。
最近はWindowsサーバーとVMware vSphereを中心としたサーバーインフラの提案・構築・保守を中心にやってます。
主な取り扱い製品は、
・Windows 2000 Server以降 (もちろんNT3.5やNT4.0も知っていますが)
・Active Directory (今で言うAD DS)
・Symantec Backup Exec
・Symantec System Recovery
・CA ARCserve Backup for Windows
・CA ARCserve Replication
・CA ARCserve D2D
・EMC RepliStor
・VMware vSphere
・某メーカーのクラスタソフトウェア

どれもこれも中途半端な知識と技術力ですが、なんとかやっています。
私自身は技術や製品を担当する立場ではなく、特定業種のお客さん(ユーザ企業)の対応窓口となるSEの役割りですから、必要であれば詳しい知識や経験豊富な別のSEを探してきてプロジェクトメンバに加えます。

もちろん小さな物件では自分で提案、インストール、お客さんへの導入、アフターサポートまでやります。
大きな物件では提案はやりますが、構築部分は専門部隊に依頼します。
その場合でもアフターサポート窓口は私がやりますので、お客さんに対しては一貫して窓口SEとなります。

サーバの世界の大きなトレンドは統合・仮想化。
2007年はVirtual Server 2005 R2によるサーバ仮想化も、2つのお客さんで本稼動させた。
2008年はVMware ESX 3.5を2セット構築。単純なローカル起動と、SANブート/VMotion/DRS/HA/VCBのフル装備もやった。
2009年はぜひHyper-Vの仮想環境を構築したいな。と思っていたが、なかなか機会に恵まれなかった。
2010年はVMware ESX 4.0でHA/VMotion/VCBバックアップを進行中。

そのほかにも、ドメインコントローラやファイルサーバの全国展開とデータ移行、特定のアプリケーションの実行基盤となるサーバ群のOS・バックアップ・DBクラスタなどインフラ部分の構築などをやっています。


2011年のポイントも引き続き、【ご利用は計画的に】。
今まで長年に渡って仕事も私生活も行き当たりばったりなので、少しでも物事を計画的に進められるようにしたい。
いつも計画性の無さが災いして多くの人に迷惑をかけています。
自分自身も計画的な仕事ができないため、いつもいろいろ苦労しています。
今年はさらに計画的に仕事をするようにしなきゃ。

それと若手を上手に使うようにならなきゃならん。
若手の育成はもちろんだけど、僕自身も仕事を上手に他の人に振ることができるようになりたい。
仕事の種類のせいなのか性格なのか、どうしても一人で抱え込んでしまうから。

【Twitter】2010年の元旦から始めました。平均して1日あたり10ツィート程度です。
仕事関連の呟きが少し、くだらない呟きがほとんどかな。
Follow norimaki2000 on Twitter
・norimaki2000 on Twitter

Follow norimaki2000 on Twitter
・norimaki2000 on Twilog


オンライン上ではあるけれど、今まで知らなかった人たちと交流する機会を得ることになり、非常に刺激を受けます。
仕事でも私生活でも、いろんな人のつぶやきは息抜きにもなり、また助けられたり、あるいは「もっとがんばんなきゃ」と励みになったりします。
Twitterを考え出した人の発想、システムとして作り上げた努力と情熱はすごい!!


【好きな音楽】ベテランの皆さんなら浜田省吾、尾崎豊、エコーズ、若手なら鬼束ちひろ、平原綾香、現在注目の若手はいきものがかり

【好きなアイドル】千葉県柏市を中心に活動する地元アイドルの「コズミック☆倶楽部」を激推し中です。

【好きな飲み物】シャンパンはご存知モエ・エ・シャンドン ブリュット アンペリアル、ビールはキリン ブラウマイスター、水ならビッテル、お茶ならキリン生茶

【好きなTVドラマ】Xファイル、24、ミレニアム、ER、CSI:科学捜査班シリーズ、NCIS:ネイビー犯罪捜査班、ザ・プラクティス、ボストン・リーガル



パソコン困り事相談もよろしく


最近の記事
最近のコメント
カレンダー
06 | 2020/07 | 08
- - - 1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30 31 -
カテゴリー
FC2カウンター
キーワード

Windows_Server VMware_ESX VMware vCenter_Server PowerShell PowerCLI VMware_Player vSphere_Client VirtualCenter Active_Directory vStorage_API Converter 文音 コズミック☆倶楽部 Windows Hyper-V Microsoft_Security_Essentials あいひょん なるみん Windows_8 VMware_Converter Backup_Exec vSphere sora カラオケ VMware_vSphere Red_Hat_Enterprise_Linux 麗美 System_Center Windows_Server_2012 VCB SQL_Server Tech_Fielders Internet_Explorer remi メモリダンプ ESX System_Recovery ARCserve_Backup RHEL vMotion Firefox VMware_HA Twitter マークス vSphere_CLI VMware_ESXi Symantec Active Server Oracle Exec Backup ジン子 Directory DMC-FZ1000 DRS schtasks sonoka Office 若手 Emily_Styler  NTFS 氷結 キリン 路上ライブ Sysinternals Recovery イチトキ XenServer エミリースタイラー wevtutil System SE Visual_Studio Vista Windows_Update Oracle_Database コズミック倶楽部 vCenter_Converter カーナビ 東京国際フォーラム セキュリティ 経済産業省 0x0000007B CDRW-AB24JL ATAPI CAB スパリゾートハワイアンズ おとなのおつまみ Brio CD えびしお 圧縮 白石美帆 スタローン スパークリングウォーター ロッキー オレッツァ バルボア エイドリアン カルディ 2008 破損 修復 ベビースター サクセス corega おやつカンパニー コマンドライン 洗車 コロン ハワイ ブラックホーク・ダウン ジョシュ・ハートネット シャンプー台のむこうに 神戸 北野 人口甘味料 伊藤園 グレープフルーツ ウォーター デュポン ワイヤーアクション けんけつちゃん はばたき福祉事業団 献血 お茶のチューハイ ポケモン・スタンプラリー 日本赤十字社 写真 ムエタイ マッハ 映画 東京タワー サーバ  CG フィット 洗濯 セルシオ グランダム のどごし生 サッポロ 糖質 一番搾り食物繊維 ラガー スリムス 掃除 雨どい 万座温泉 夏休み 関西空港 羽田 キャンプ 草津 カーポート 高原 バーベキュー 鬼押し出し園 ついにステップワゴンを契約してしまった OEM Intel wbadmin Windows_Serverバックアップ Paper.li Panasonic LUMIX Windows_Server_2016 vSphere_Web_Client FZ1000 れみ GR5 NVR500 AWS robocopy Windows_Azure IP38X/N500 Linux HUAWEI OneDrive 浜田省吾 コズミック☆LOVE エミリー・スタイラー 三浦海岸 ちばかわいいくらぶ ツイート 動画 三浦半島 BEACHEND_CAFE A036 A7III α7III チャンカナ canaguitar つりあやめ -ayane- こずくら 加藤成実 REAN シンガーソングライター cana 佐藤航 Wataru_Sato iStorage バッチ SAP Resource Replication PCI STOPエラー SUPPLEX Tools Thunderbird SweetGrass PC-Success OREZZA Hyperion Gathers DVD CoolMax IDE IZZE NetBackup NR-7900A Kit USB USB2.0 vStorag_API Virtual_Infrastructure バックアップ ARCserve_D2D SkyDrive グループポリシー Tween OpenOffice Apache ARCserve_Replication VMFS ULPC XP Word Uptime.exe A056 DSP OpenOffice.org ジャンプフェスタ ITIL CR-V 

月別アーカイブ
リンク
RSSフィード