我正在嘗試構建一個列出當前在Active Directory中鎖定的所有帳戶的應用程序。據我瞭解,當帳戶被鎖定時,活動目錄將對象的LockedOut
屬性更改爲true
,並且依賴於其他方法的活動目錄不太可靠,例如看到lockoutTime>1
。是否可以向LDAP查詢擴展的Active Directory屬性?
我知道你可以看到這個屬性,以及更多,如果你運行get-aduser johndoe -properties *
但我還沒有能夠通過LDAP查詢獲得所有的屬性。
換句話說,是否可以通過LDAP查詢來提取擴展AD屬性,例如lockedOut
?
btw你需要使用SearchResult.GetDirectoryEntry()來獲取DirectoryEntry對象。然後使用$ directoryEntry.Properties [「msDS-User-Account-Control-Computed」]獲取該值。 – 2015-01-14 22:47:08