LDAP仅限非活动用户查询

时间:2016-01-08 12:06:19

标签: active-directory ldap

我有一个仅搜索活动用户的ldap查询。 查询如下:

"(&(objectclass=user)(objectcategory=person)(!userAccountControl:1.2.840.113556.1.4.803:=2)(whenchanged>=#LAST_DAYS#))"

我以为我只需要删除“!”获得不活跃的用户,但我错了。有什么想法吗?

1 个答案:

答案 0 :(得分:1)

您确定(whenchanged>=#LAST_DAYS#)是否正确?如果是,请尝试在不使用userAccountControl的情况下查询帐户,并查看它是否返回的帐户数多于使用=2时的帐户数。 2代表UF_ACCOUNT_DISABLE,对应于帐户属性中的“帐户被禁用”标志(用户可能无法登录到域)。您也可以转到AD并查看帐户是否启用了该标记。

enter image description here