Kategorie: 
Translate EN
Das Erstellungsdatum eines Benutzerobjekts kann aus dem Active Directory abgefragt werden. Das Attribut, in dem das Datum gespeichert wird, nennt sich When-Created und wird auf andere Domänencontroller sowie in den globalen Katalog (Global Catalog, GC) repliziert.
http://msdn2.microsoft.com/en-us/library/ms680924.aspx
Eine Abfrage der Erstellungsdaten per Skript könnte folgendermaßen aussehen:
How Can I Get a List of All the Objects that have been Added to Active Directory Since a Specified Date?
http://www.microsoft.com/technet/scriptcenter/resources/qanda/jan06/hey0125.mspx
Ein ähnliches Attribut ist Create-Time-Stamp (RFC 2251). Es ist zwar im Schema definiert, aber es enthält selbst keinen Wert. Die Attributwerte werden allerdings im Moment der Abfrage errechnet. Diese Art von Attribut wird „Operational Attribute“ oder auch „Constructed Attribute“ genannt. Da das Attribut Create-Time-Stamp „constructed“ ist, kann es nicht repliziert werden. Sein Wert wird auch nicht in den GC übertragen.
Um die Kompatibilität mit X.500/LDAP herzustellen, erhält man bei einer Abfrage des Attributs Create-Time-Stamp den Wert von When-Created zurück. Möchte man dieses Attribut per Skript abfragen, so muss dies explizit über die GetInfoEx-Methode erfolgen.
http://msdn2.microsoft.com/en-us/library/ms675468.aspx
http://www.microsoft.com/technet/scriptcenter/guide/sas_ads_jdaa.mspx?mfr=true
MMC Snap-In „Active Directory-Benutzer und -Computer“
Recht einfach lässt sich das Erstellungsdatum eines Benutzerobjekts über die grafische Benutzerverwaltung anzeigen. Im Snap-In „Active Directory-Benutzer und -Computer“ ist es notwendig, unter „Ansicht“ die Option „Erweiterte Funktionen“ zu aktivieren, um weitere Registerkarten im Benutzerobjekt anzeigen zu lassen. Anschließend ruft mandie Eigenschaften des gewünschten Benutzers auf. Im Reiter Objekt befindet sich der Eintrag "Erstellt am".
MMC Active Directory Service Interface Editor – ADSIEdit
Es ist ebenfalls möglich, mit ADSIEdit.msc (aus den Windows Support Tools) sich das Attribut anzeigen zu lassen. Dazu ist ADSIEdit.msc über „Start/Ausführen/ADSIEdit.msc“ aufzurufen und die Domain-Partition zu öffnen (falls noch keine Verbindung besteht). Als nächstes erweitert man die Einträge „Domain“ sowie den Container DC=<Domäne>,DC=<TLD>. Im Anschluss navigiert man zu dem Container, in dem sich die Benutzerobjekte befinden, und wählt mit einem Rechtsklick auf das Benutzerobjekt „CN=<Benutzername>“ die Eigenschaften aus. Nun kann man im Eigenschaften-Fenster des Benutzers das Attribut „whenCreated“ kontrollieren.
Befehlszeilen-Abfrage mit DSQUERY
Neben der grafischen Oberfläche lässt sich das Attribut auch über die Befehlszeile abfragen. Dazu bietet sich eines der DS-Tools, dass im Windows Server 2003 Betriebssystem integriert ist an. Das Tool das sich dazu eignet, heißt dsquery. Der Befehl für die Abfrage könnte folgendermaßen lauten (alles in einer Zeile):
dsquery * domainroot -filter "(&(objectClass=User)(objectCategory=Person))" -attr distinguishedName sAMAccountName whenCreated -Limit 0
How do I know what attribute names to use when performing a 'DSQUERY *'?
http://www.jsifaq.com/SF/Tips/Tip.aspx?id=7992
Befehlszeilen-Abfrage mit ADFind
Ein weiteres Befehlszeilenprogramm, das auf keinem administrativen PC fehlen sollte, ist das von Joe Richards entwickelte Tool "ADFind". Die Abfrage könnte z.B. folgendermaßen lauten:
Adfind -b DC=<Domäne>,DC=<TLD> -f „&(objectclass=user)(objectcategory=person)" sAMAccountName whencreated
Download: http://www.joeware.net/win/free/tools/adfind.htm
http://faq-o-matic.net/?p=490
