LDAP to OPATH

2012. január 19.
Asteriksz blogja
Nyomtatóbarát változat
Asteriksz szakmai blogja
Informatika
rendszergazdai ismeretek
szakavatott szintű
LDAP to OPATH

Adott helyen felmerült az a kérdés, hogy az Exchange 2003-ról 2010-re migrált rendszerben át kell állítani a globális listákat az új formátumra. Ezzel nincs is gond, hiszen az innen letölthető PS parancs rengeteget segít, gyakorlatilag az állományban található példákat bemásolva elvégzik helyettünk a feladatot.


Igen ám, de mi van, ha olyan speciális lekérdezésünk van, ami kiakasztja a parancsot? Konkrétan itt adva volt az alábbi LDAP szűrés:


(!(userAccountControl:1.2.840.113556.1.4.803:=2))


Ez ugye azt takarja, hogy kiszűrjük a letiltott fiókokat, magyarul azok ne jelenjenek többé meg a címlistánkban.


Nos, ezt a szűrést már nem tudja értelmezni a kolléga által összedobott parancs, így körbe kell járni, hogy miként is néz ki ez OPATH formátumban.


Az nem elég, ha az egyenlőség helyett „-eq” –t írunk, ahogyan az sem, hogy a 2-es számot ’2’ formátumba tesszük. Ha kicsit megpiszkáljuk, kiderül, hogy OPATH-ban nem lehet a hosszú számkolbászt használni (ami egy „LDAP-os ÉS” operátornak megfelelő maszkolás), de már ismeri a szöveges, olvasható értékeket is – magyarul, a 2 helyettesíthető az „AccountDisabled” értékkel.


Kiindulásnak jó volt, de mégsem elég. Ugyanis a teszt-lekérdezések nem hozták a várt eredményt, hiába próbáltam kiszűrni akár a letiltott, akár az aktív fiókokat.


Jött a szokásos eszköz: AdsiEdit. Nos, itt megnézve egy letiltott fiókot, kiderül, hogy van még egy tulajdonsága, mégpedig a „NormalAccount”. Mivel nem mindenhol használhatjuk a „-like” operátort, ezért az „-eq” esetén az előző tulajdonságot is fel kell tüntetni.


Összegezve, a fenti LDAP lekérdezés egyik lehetséges OPATH megfelelője:


-not(UserAccountControl -eq 'AccountDisabled, NormalAccount')


S ezzel még mindig nem vagyunk a végén. Ugyanis ezzel kizártunk olyan fiókokat, amelyeknek van más extra tulajdonságuk is (például nem jár le a jelszavuk, stb, a lista itt megtekinthető)… Mivel viszont ott elég volt a fenti lekérdezés, nem bonyolítottam tovább a szűrés feltételeit, ha szükség lesz, majd visszatérek rá J


(Forrás: Asteriksz blogja)


 

Megosztás:
  • IWIW
  • Facebook
  • del.icio.us
  • Twitter
  • LinkedIn
  • Digg

Hozzászólás

A mező tartalma nem nyilvános.

Szerkesztő

Asteriksz blogja

Egy rendszergazda blogja
Asteriksz profilkép
Adatlap Kapcsolat

Legolvasottabb bejegyzések

Asteriksz szakmai blogja szakágmagazin megjelenései

rendszergazdai ismeretek

Csatlakozz hozzánk!

href="http://www.statcounter.hu/" target="_blank"> src="http://c.statcounter.com/7117926/0/4d3b4577/1/" alt="ingyen
webstatisztika">