Mam system, który używa usługi Active Directory do uwierzytelniania użytkowników. Teraz muszę użyć ustawień zabezpieczeń z reklamy, aby ostrzec użytkownika, że jego hasło wygaśnie za kilka dni. Okres przed upływem hasła, gdy zgłoszenie zostanie przedstawione użytkownikom definiowane zgodnie z opisem w Ten artykuł. Chcę przeczytać wartość ustawioną w "Interactive Logon: Monituj, aby zmienić hasło przed wygaśnięciem" Z reklamy przy użyciu javax.naming.directory.initialdirContext. Mam nadzieję, że ta wartość zostanie zapamiętana w reklamie, ale nie mam pojęcia, jak go znaleźć. Patrzyłem na zestaw atrybutów reklam, ale nie wydaje się, aby nie pasuje do tych informacji. Czy można pobrać tę wartość z reklamy?

0
chodnik 16 styczeń 2020, 14:20

1 odpowiedź

Najlepsza odpowiedź

Jest to bardziej skomplikowane, ponieważ ustawienie nie jest bezpośrednio utrzymywane w Active Directory. Jest to część polityki grupy (biorąc pod uwagę, że jest skonfigurowany w polityce, a nie na komputerze lokalnym), który odbędzie się w miejscu sieciowym i połączone w Active Directory.

Aby uzyskać prosty przykład, możesz wsiąść do tego:

  1. Przeczytaj zamierzone atrybut i sprawdź gPLink atrybut. Wartość jest czymś w rodzaju listy obiektów zasad grupy powiązanych z wybranym OU w porządku zadającym priorytet. Każda z wartości jest coś w rodzaju: [LDAP://CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=internal,DC=local;0]. Pierwsza część to lokalizacja GP, ostatnia część wydaje się być flagą (2, co oznacza, że polityka jest egzekwowana).
  2. Przeczytaj obiekt (y) zasad i sprawdź atrybut gPCFileSysPath. Jest to miejsce, w którym przechowywane są ustawienia zasad. Byłoby to coś takiego jak \\internal.local\sysvol\internal.local\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}.
  3. Sprawdź sklep z plikiem z punktu 2. i poszukaj pliku MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf. Jest to regularny plik inf / ini, bada sekcja [Registry Values], aby znaleźć linię, która brzmi: MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\PasswordExpiryWarning=4,14. To 14 to ustawienie zasad (monit o zmianę hasła 14 dni przed wygaśnięciem).

Teraz sprawy są skomplikowane, aby uzyskać faktyczny wynikowy zestaw zasad. Zasady odziedziczają od rodziców, co oznacza, że w pkt 1. Powinieneś sprawdzić zamierzonego OU i wszystkich jego rodziców wraz z samym węzłem domeny, oceniaj wszystkie gPLink s w odpowiednim zamówieniu, ewentualnie również biorąc pod uwagę ich Filtr WMI, niezależnie od tego, czy mają zastosowanie, czy nie, aby dowiedzieć się, jaką wartość obowiązuje.

Jeśli twoja aplikacja stanie się uruchomić w systemie Windows, które można umieścić w tej samej polityce grupy, może być łatwiejsze do przeczytania informacji z rejestru, ponieważ zostanie to już zastosowane przez system.

W każdym razie uważałbym za użycie niektórych domyślnych okresu ostrzegania o wygaśnięciu, biorąc pod uwagę ilość złożoności, aby uzyskać wartość z AD (pod warunkiem, że jest zdefiniowany w zasadach grupy w ogóle, a nie tylko domyślnie na komputerach lokalnie).

1
raspy 20 styczeń 2020, 11:02