我正在尝试构建一个列出当前在Active Directory中锁定的所有帐户的应用程序。据我了解,当帐户被锁定时,活动目录将对象的LockedOut
属性更改为true
,并且依赖于其他方法的活动目录不太可靠,例如看到lockoutTime>1
。是否可以向LDAP查询扩展的Active Directory属性?
我知道你可以看到这个属性,以及更多,如果你运行get-aduser johndoe -properties *
但我还没有能够通过LDAP查询获得所有的属性。
换句话说,是否可以通过LDAP查询来提取扩展AD属性,例如lockedOut
?
btw你需要使用SearchResult.GetDirectoryEntry()来获取DirectoryEntry对象。然后使用$ directoryEntry.Properties [“msDS-User-Account-Control-Computed”]获取该值。 – 2015-01-14 22:47:08