AD Ldap pwdLastSet不能更新到指定日期

原创 已于 2022-05-31 10:54:32 修改 · 932 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#ad #ldap

于 2022-05-31 10:49:14 首次发布
本文介绍了如何在LDAP中通过设置Pwd-Last-Set属性实现密码强制更改策略,并强调了该属性只能由系统设置,不能手动指定特定日期。了解如何操作这个关键属性以管理用户密码安全性。

由于网上资料实在有限,特此记录

The only values that can be set are:

  • 0 - To set "User Must Change Password at Next Logon", set the pwdLastSet attribute to zero (0). This is as if the Pwd-Last-Set attribute=True - which is an implementation of Password MUST Change condition.
  • -1 - setting the Pwd-Last-Set attribute attribute to -1 which will effectively set the Pwd-Last-Set attribute to the current time and remove the "User Must Change Password at Next Logon" restriction.
  • The Pwd-Last-Set attribute attribute cannot be set to any other values except by the system.

原文地址:Ldapwiki: Pwd-Last-Set attribute

用代码试了,可以修改为0 表示下次登录必须修改密码。

但是不能修改为具体的某一个日期。

修改密码后系统会自动更新该值。

ad域控查看ldap端口命令_工作笔记(一)LDAPAD介绍以及使用LDAP操作AD
weixin_39935092的博客
12-29 3474
1. LDAP入门1.1 定义LDAP是轻量目录访问协议(LightweightDirectory Access Protocol)的缩写,LDAP标准实际上是在X.500标准基础上产生的一个简化版本。1.2 目录结构LDAP也可以说成是一种数据库,也有client端和server端。server端是用来存放数据,client端用于操作增删改查等操作,通常说的LDAP是指运行这个数据库的服务器。 ...
AD域建设管理(二)| python3+ldap3管理AD域实践(批量创建OU、用户、改密码、更新OU与用户)
热门推荐
本博客暂停使用
04-03 1万+
AD域建设管理(二)| python3+ldap3管理AD域实践(批量创建OU、用户、改密码)
ladp3 获取属性_获取ldap属性PwdLastSet使用java
weixin_39676633的博客
12-19 679
我想从使用java检索LDAPPwdLastSet属性。它失败并且不会抛出错误。下面的代码:获取ldap属性PwdLastSet使用javaprivate String getPasswordLastSet() {int searchScope = LDAPConnection.SCOPE_BASE;int ldapVersion = LDAPConnection.LDAP_V3;int lda...
adpwdLastSet,微软时间戳转java的date
天天的专栏
06-24 2723
ad里面用户的密码最后修改时间是一个long型的。用微软的话说:the number of 100 nanosecond intervals since January 1, 1601 (UTC) 也就是是从1601年1月1日到当前时间的一个100纳秒数。首先这个数去掉后四位,就变成了毫秒数。 但是因为跟java的开始计算时间不一样,所以还不能比较。 java是从1970年1月1日00:0...
LDAP基础
labty的博客
10-09 412
1.[b]什么是LDAP? [/b] LDAP的英文全称是Lightweight Directory Access Protocol,一般都简称为LDAP。它是基于X.500标准的,但是简单多了并且可以根据需要定制。与X.500不同,LDAP支持TCP/IP。LDAP目录也是一种类型的数据库,但是不是关系型数据库。 2.[b]LDAP的优势:[/b] LDAP协议是跨平台的和标准的协议,...
pwdlastset
03-06
pwdlastset 脚本使用python脚本对一个csv文件的域进行分组并创建新的csv文件
pwdLastSet AD
weixin_30945039的博客
06-14 1092
如果pwdLastSet设置为null,那么下此用户登录的时候必须修改密码。 转载于:https://www.cnblogs.com/qiumc/p/7007497.html
ToB项目身份认证AD集成(一):基于目录的用户管理、LDAP和Active Directory简述
分享有趣的、贴近生活的CS知识
09-23 1261
ToB的项目中,应用与AD域对接大多数情况下是绕不开的,作为偏前端的Noder,我们需要浅浅的了解一下
python ldap3 创建用户_基于python LDAP3的AD域账号注册系统
weixin_42508215的博客
01-14 1289
@login_requireddefad_user(request):if request.method != "POST":return render(request,"index.html")try:FirstName= request.POST.get('first-name') #姓LastName = request.POST.get('last-name') #名LognNa...
九.修改AD用户属性-账户-账户选项
qq_38204532的博客
12-09 1024
LDAP修改ad用户账户选项,这里只提供了两种常用的,更多的请参考专栏,帮助类中的枚举。
AD账号属性的 PwdLastSet 和 PasswordLastSet 有什么区别?
lzbill的专栏
11-27 3336
AD账号属性的 PwdLastSet 和 PasswordLastSet 有什么区别? 两个都是最后一次设置密码的时间,但有点区别。 pwdLastSet pwdLastSet 是时间戳,使用起来不太直观,但参与运算是没问题的: D:> Get-ADUser -Filter 'Name -like "kj*"' -Properties * | Select-Object name,pwdlastset name pwdlastset ---- --.
关于AD域账户中pwdLastSet的数值问题。
weixin_33693070的博客
05-16 995
AD中直接取出来是__ComObject类型,其实他是long类型,直接转换也不好使,必须使用下面演示的方法转换,转换好了再从这个long转换成DateTime类型。 下面的代码有Silmoon这个程序集,大家可以去http://code.google.com/p/silmoon-dotnet-library/checkout出来,引用Silmoon.dll。 这个...
关于win2003作AD后pdc怎么做时间自动更新
悠悠猪
03-16 258
2003做PDC后没有INTERNET时间自动更新,如果PDC时间不对,将影响到所有域用户机器时间 C:\Windows>net time \\time.windows.com /set /yes 发生系统错误 53。 找不到网络路径。 C:\Documents and Settings\Administrator>net time /? 此命令的语法是: NET TIME...
查看计算机用户修改密码时间,使用ldap语句查询某时间后没改密码的用户
weixin_39611413的博客
06-21 1428
经常使用Active Directory用户和计算机控制台的我们会发现,在左侧控制台树的最上面有一个“保存的查询”,通过新建查询可以看到可以通过图形界面创建一些简单的查询操作。 那么我们如果有一些特殊的查询要做要怎么来实现呢。这里我们把《查询某个时间点后没有改过密码的用户》来做为案例来简单说明一下如何使用LDAP命令在AD控制台上来建立查询。一、关于在AD中密码修改的信息的存储格式在活动目录中存储...
为什么按a不显示无服务器,pwdLastSet显示在一个服务器A上,但不在服务器B上,即使它在那里...
weixin_36343353的博客
08-13 323
pwdLastSet不会在我的代码中返回到服务器B上。在服务器B上,用户是通过“猜测”通过LDAP 。当我在AD Manger中检查用户时,我可以看到该字段,但是当我尝试通过代码获取服务器B上的pwdLastSet时,它不起作用。但是,它全部在服务器A上运行,我通过AD创建用户。pwdLastSet显示在一个服务器A上,但不在服务器B上,即使它在那里我也尝试过通过UserPrincipal对象的“...
ad域时间源配置_每天一点IT-AD升级前你应该知道的事情
weixin_30788829的博客
01-10 687
每天学习一点点,进步一点点!目前很多公司,AD域控制器的版本是windows server 2008 R2,由于已经过了生命周期,因此必须要进行升级,才能保障域控的安全。要不然以后发现了漏洞,微软又不提供补丁,风险极大!目前windows的版本都去到windows server 2019了,隔了整整三代。我们首先看看主流的几个windows版本生命周期:Windows server 2019,开始...
spring LdapTemplate创建AD账户时创建密码
chenganbeit的专栏
07-13 1332
通过springboot ldapTemplate创建用户并设置密码
AD域首次登陆修改密码设置
qq_30057717的博客
01-05 5254
设置pwdLastSet属性,为0首次登陆必须修改密码。
帮助写一个通达OA同步用户数据到AD域的软件
最新发布
10-05
<think>我们要编写一个将通达OA用户数据同步到AD域的软件。根据之前的引用和讨论,我们可以采用以下步骤: 1. 获取通达OA的用户数据:通过通达OA的API或直接访问数据库(需官方支持或文档说明)。 2. 处理用户数据:将通达OA的数据结构映射到AD域的用户属性。 3. 连接AD域:使用LDAP协议与AD域服务器通信。 4. 在AD域中创建或更新用户。 引用[2]中提供了一段C#代码,展示了如何通过LDAPAD域添加用户。我们可以参考这段代码,结合通达OA的数据,编写同步程序。 步骤: 1. 确认通达OA数据源:如何获取通达OA的用户数据?可能需要使用通达OA提供的接口或数据库访问(注意权限和安全性)。 2. 设计数据映射:将通达OA的用户字段映射到AD域属性(如工号->sAMAccountName,姓名->displayname,电话->telephonenumber等)。 3. 连接AD域:使用LDAP协议,需要AD域的管理员账号和密码,以及域控制器的地址。 4. 遍历通达OA的用户数据,对于每个用户,检查在AD域中是否存在(根据sAMAccountName或employeeID等唯一标识),如果不存在则创建,存在则更新。 代码结构(C#示例): 1. 从通达OA获取用户列表(假设通过某个方法,如GetTongdaUsers)。 2. 连接AD域。 3. 循环处理每个用户。 注意: - 用户密码:新创建用户需要设置初始密码,并强制修改密码(根据安全策略)。 - 用户启用:新创建用户默认是禁用的,需要设置启用(或者根据需求)。 - 错误处理:记录同步过程中出现的错误(如用户已存在,字段不符合要求等)。 - 性能:如果用户数量大,考虑分批次处理。 下面是一个简化的代码示例(基于引用[2]的代码扩展): </think>### 将通达OA用户数据同步到AD域的实现方案 #### 一、核心实现步骤 1. **数据提取层** 使用通达OA数据库接口获取用户数据(需企业版API权限): ```csharp // C#示例:获取OA用户数据 DataTable GetTongdaUsers() { string connStr = "Server=oa_db;Database=TongdaOA;User=SyncUser;"; using (SqlConnection conn = new SqlConnection(connStr)) { SqlCommand cmd = new SqlCommand("SELECT user_id, real_name, dept_path, tel FROM USER_INFO", conn); SqlDataAdapter da = new SqlDataAdapter(cmd); DataTable dt = new DataTable(); da.Fill(dt); return dt; // 返回用户数据表 } } ``` 2. **AD域操作层** 引用[2]的代码扩展为完整同步模块: ```csharp // C#示例:同步到AD域 void SyncToAD(DataTable users) { const string DOMAIN_NAME = "company.com"; foreach (DataRow user in users.Rows) { string userId = user["user_id"].ToString(); string userName = user["real_name"].ToString(); string tel = user["tel"].ToString(); string dept = MapDeptPath(user["dept_path"].ToString()); // 部门路径转换函数 using (DirectoryEntry entry = new DirectoryEntry("LDAP://OU=" + dept + ",DC=company,DC=com")) { DirectoryEntry newUser = entry.Children.Add($"CN={userId}({userName})", "user"); newUser.Properties["sAMAccountName"].Add(userId); newUser.Properties["displayName"].Add(userName); newUser.Properties["userPrincipalName"].Add($"{userId}@{DOMAIN_NAME}"); newUser.Properties["telephoneNumber"].Add(tel); newUser.Properties["userAccountControl"].Value = 0x200; // 禁用状态 newUser.CommitChanges(); newUser.Invoke("SetPassword", new object[] { "Init@123" }); // 初始密码 newUser.Properties["userAccountControl"].Value = 0x200; newUser.CommitChanges(); } } } ``` 3. **关键映射逻辑** | OA字段 | AD属性 | 转换规则 | |--------------|----------------------|----------------------------| | `user_id` | `sAMAccountName` | 直接映射 | | `real_name` | `displayName` | 中文需UTF-8编码 | | `dept_path` | OU路径 | 替换"/"为","(总部/研发→OU=总部,OU=研发)| | `tel` | `telephoneNumber` | 验证11位手机号格式 | #### 二、安全增强措施 1. **通信加密** ```csharp // 强制使用LDAPS using (DirectoryEntry entry = new DirectoryEntry("LDAPS://ad-server:636/OU=...")) { entry.AuthenticationType = AuthenticationTypes.SecureSocketsLayer; } ``` 2. **密码策略** - 初始密码符合AD复杂度要求(大小写+数字+符号) - 首次登录强制修改密码: `newUser.Invoke("Put", new object[] {"pwdLastSet", 0});` 3. **错误处理机制** ```csharp try { newUser.CommitChanges(); } catch (DirectoryServicesCOMException ex) { LogError($"AD同步失败: {userId} - {ex.Message}"); RollbackUser(userId); // 回滚函数 } ``` #### 三、部署架构 ```mermaid flowchart TB A[通达OA数据库] -->|每30分钟| B[同步服务] B --> C{数据转换} C -->|新用户| D[创建AD账号] C -->|更新| E[修改AD属性] D --> F[(AD域控制器)] E --> F F --> G[日志系统] ``` #### 四、性能优化 1. **批量处理技术** ```csharp // 使用DirectorySearcher批量查询 DirectorySearcher searcher = new DirectorySearcher(entry); searcher.Filter = $"(sAMAccountName={userId})"; searcher.SizeLimit = 100; // 每批处理100用户 ``` 2. **内存管理** 引用[3]的硬件配置参考,建议: $$ \text{内存需求} = 500\text{KB} \times N_{\text{users}} + 100\text{MB} $$ 当用户数 > 2000 时需分布式部署 #### 五、注意事项 1. **字段兼容性** - AD的`sn`(姓)和`givenName`(名)为必填项,需拆分中文姓名[^1] - 部门层级深度不超过AD限制的64层 2. **监控指标** ```powershell # PowerShell监控命令 Get-EventLog -LogName 'Application' -Source 'TongdaSync' -After (Get-Date).AddHours(-1) ``` > 完整实现需结合微软的[Active Directory Domain Services](https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/get-started/virtual-dc/active-directory-domain-services-overview) API文档,并配置专用服务账号权限[^2]。 --- ### 相关问题 1. 如何处理通达OA与AD之间的部门编码不一致问题? 2. 如何实现同步过程中的实时监控和告警? 3. 用户离职数据如何自动从AD域禁用? 4. 如何优化大规模用户(>10000)的同步性能? [^1]: 需注意姓名拆分算法对复姓(如欧阳)的处理逻辑 [^2]: AD服务账号需授予目标OU的`创建/修改用户对象`权限
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

天天

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值