在 .NET 中获取 AD 上帐号密码过期时间 【转】

最新推荐文章于 2022-11-14 10:18:38 发布
最新推荐文章于 2022-11-14 10:18:38 发布
阅读量2.2k 收藏 1
点赞数
分类专栏: Programming 文章标签: .net properties vbscript integer sharepoint exception

原文:http://www.blogcn.com/User8/flier_lu/blog/4371854.html

    .NET Framework 提供了 System.DirectoryServices 名字空间用于操作 AD 等支持 LDAP 接口的服务器,通过这组类我们能够很容易实现通过 AD 验证用户帐号,以及向 AD 查询域用户及其所在组的信息,是在 Web 应用中集成 AD 以实现企业单点登陆的重要手段之一。
    纯朴的狗熊 在其 blog 上有一系列非常出色的文章介绍了这方面的基本知识

    活动目录.NET编程Tips
    使用System.DirectoryServices.Protocols实现对AD的简单操作
    ADHelper 活动目录用户操作类

    虽然他给出的那个例子代码并不完整,但为后来者提供了很好的基础。

    为了让笔者所在公司的基于 SharePoint 的内网门户能够提供一些方便的小功能,如查询自己帐号的密码过期时间等等,笔者对其封装代码做了一些修改,定义了 AdServer/AdGroup/AdUser 分别用于对 AD 服务器/组/用户的封装,让关系更加清晰。回头等封装代码稳定了,再写篇文章详细介绍。

    其中碰到一个讨厌的问题是如何从 AD 获取当前帐号的密码过期时间。对基于域的用户来说,通过 ADSI 接口的 WINNT:// 协议,可以简单的从 IADsUser::PasswordExpirationDate 获得这一信息;但对于 AD 的 LDAP:// 协议接口,这个字段并不存在,需要我们手工从帐号最后登陆时间 (pwdLastSet) 和用户所在域的帐号过期时间 (maxPwdAge) 自行计算。

    ADSI 接口的 User 对象 schema 中定义了这些常用的属性

    User Object Properties

    微软 MSDN 中也专门有一篇文章详细介绍了如何进行这种计算

    How Long Until My Password Expires?

    其核心算法步骤如下:

    1.帐号是否被禁用
    2.帐号密码是否被设置过
    3.帐号所在域是否有密码期限设置
    4.计算密码期限设置的天数
    5.计算密码过期的时间

    算法流程图如下:

    

    对 VBScript 来说只需要一段简单的代码就可以完成任务

On   Error   Resume   Next

Const  ADS_UF_DONT_EXPIRE_PASSWD  =   & h10000
 Const  E_ADS_PROPERTY_NOT_FOUND   =   & h8000500D
 Const  ONE_HUNDRED_NANOSECOND     =  . 000000100
Const  SECONDS_IN_DAY             =   86400

Set  objADSystemInfo  =   CreateObject ( " ADSystemInfo " )               '  LINE 8
Set  objUser  =   GetObject ( " LDAP:// "   &  objADSystemInfo.UserName)    '  LINE 9

intUserAccountControl  =  objUser. Get ( " userAccountControl " )
 If  intUserAccountControl  And  ADS_UF_DONT_EXPIRE_PASSWD  Then
    WScript.Echo  " The password does not expire."
    WScript.Quit
 Else
    dtmValue  =  objUser.PasswordLastChanged
     If  Err.Number  =  E_ADS_PROPERTY_NOT_FOUND  Then
        WScript.Echo  " The password has never been set."
        WScript.Quit
     Else
        intTimeInterval  =   Int ( Now   -  dtmValue)
        WScript.Echo  " The password was last set on  "   &  _
           DateValue (dtmValue)  &   "  at  "   &   TimeValue (dtmValue)   &  vbCrLf  &  _
           " The difference between when the password was last "   &  vbCrLf  &  _
           " set and today is  "   &  intTimeInterval  &   "  days"
     End   If

     Set  objDomain  =   GetObject ( " LDAP:// "   &  objADSystemInfo.DomainDNSName)
     Set  objMaxPwdAge  =  objDomain. Get ( " maxPwdAge " )

     If  objMaxPwdAge.LowPart  =   0   Then
        WScript.Echo  " The Maximum Password Age is set to 0 in the  "   &  _
                      " domain. Therefore, the password does not expire."
        WScript.Quit
     Else
        dblMaxPwdNano  =  _
             Abs (objMaxPwdAge.HighPart  *   2 ^ 32   +  objMaxPwdAge.LowPart)
        dblMaxPwdSecs  =  dblMaxPwdNano  *  ONE_HUNDRED_NANOSECOND
        dblMaxPwdDays  =   Int (dblMaxPwdSecs  /  SECONDS_IN_DAY)
        WScript.Echo  " Maximum password age is  "   &  dblMaxPwdDays  &   "  days"
         If  intTimeInterval  >=  dblMaxPwdDays  Then
            WScript.Echo  " The password has expired."
         Else
            WScript.Echo  " The password will expire on  "   &  _
               DateValue (dtmValue  +  dblMaxPwdDays)  &   "  ( "   &  _
               Int ((dtmValue  +  dblMaxPwdDays)  -   Now &   "  days from today)."
         End   If
     End   If
End   If

    但因为 .NET v1.x 中活动目录的简陋封装,使得在 .NET 中要实现上述功能相对较为繁琐。

    首先需要通过 AdUser 对象封装的 DirectoryEntry 的属性获得 userAccountControl 字段的值,并判断是否设置了密码永不过期的标志:

   public   class  AdUser : AdItem
   {
     public   enum  ADS_USER_FLAG_ENUM
     {
      
      ADS_UF_DONT_EXPIRE_PASSWD  =   0X10000 ,
      
    }

     public   int  UserAccountControl
     {
       get
       {
         return  Convert.ToInt32(Properties[ " userAccountControl " ][ 0 ]);
      }
    }

     public   bool  IsPasswordNotExpire
     {
       get
       {
         return  (UserAccountControl  &  ( int )ADS_USER_FLAG_ENUM.ADS_UF_DONT_EXPIRE_PASSWD)  !=   0 ;
      }
    }
  }


    然后需要访问密码最后被重置的时间,判断此帐号是否被使用过。

    这里需要注意的是,密码最后重置时间 (pwdLastSet) 和域密码过期时间 (maxPwdAge) 等字段在 AD 中是 INTEGER8 类型。虽然理论上对应于 C# 中的 long,但通过 System.DirectoryServices 并不能直接访问之。也就是说对于这些 INTEGER8 类型的字段,通过 Convert.ToInt64(Properties["pwdLastSet"][0]) 这样的强制转换调用会直接抛出异常。
    要访问这种字段,必须显式通过 ADSI 规范中的 IADsLargeInteger 接口,手工进行转换。.NET 247  上的一篇文章里面介绍了这个问题的解决方法

    DirectoryEntry __ComObject use.

    而这个例子中的转换代码还可能出现溢出问题,需要小心处理

    Problem with the HighPart and LowPart Property Methods

    完整的转换代码如下:

public   abstract   class  AdEntry : IDisposable
 {
   //  在 .NET 中访问 INTEGER8 类型必须通过 IADsLargeInteger 接口
   //   http://www.dotnet247.com/247reference/msgs/31/159934.aspx
  [ComImport]
  [Guid( " 9068270B-0939-11D1-8BE1-00C04FD8D503 " )]
  [InterfaceType(ComInterfaceType.InterfaceIsDual)]
   internal   interface  IADsLargeInteger
   {
    [DispId( 0x00000002 )]  int  HighPart { get set ;}
    [DispId( 0x00000003 )]  int  LowPart { get set ;}
  }

   internal   long  GetLongValue(IADsLargeInteger value)
   {
     //  将 IADsLargeInteger 内容转换为 long 之前必须小心溢出
     //   http://www.rlmueller.net/Integer8Discussion.htm
     return  ( long )((( ulong )value.HighPart  <<   32 +  ( ulong )value.LowPart);
  }
}


    只有解决了这诸多问题,才能将上面那一小段 VBScript 代码真正移植到 .NET 下:

public   class  AdUser : AdItem
   {
     //   http://msdn.microsoft.com/library/en-us/dnclinic/html/scripting09102002.asp
     public  DateTime PasswordExpirationDate
     {
       get
       {
         if (IsPasswordNotExpire)
         {
           return  DateTime.MaxValue;  //  帐号被设置为密码永不过期
        }
         else
         {
           long  lastChanged;

           try
           {
            lastChanged  =  GetLongValue((IADsLargeInteger)Properties[ " pwdLastSet " ][ 0 ]);
          }
           catch (Exception)
           {
             return  DateTime.MinValue;  //  密码没有被设置过
          }

          IADsLargeInteger maxAge  =  (IADsLargeInteger)Server.Properties[ " maxPwdAge " ][ 0 ];

           if (maxAge.LowPart  ==   0 )
             return  DateTime.MaxValue;  //  域中密码没有设置最大有效期限
           else
             return  PasswordLastChanged.AddDays(Server.MaxPasswordDays);
        }
      }
    }
  }


    虽然是个小问题,可里面的阻力一点都不小。  希望如 纯朴的狗熊  所说微软会在下个版本里面真正认真对待目录服务这块企业级应用必备的领域。

husn
关注
专栏目录
IOS小技能:应用上架材料的准备、打包注意事项、app 让、加急审核
iOS逆向与安全
11-16 3994
文章目录引言上架前的准备1.1 开通个人或者公司的账号(续费)1.2 上架前的准备see also 引言 IOS应用上架材料是iOS开发的必备小技能 上架前的准备 android 上架应用市场需要软著, 计算机软件著作权登记需要的材料: 源码 APP操作手册 信息采集表 1.1 开通个人或者公司的账号(续费) 2020苹果开发者续费教程(通过 Apple Developer 网站完成的注册,则不支持通过 Apple Developer app 续订会员资格) https://blog.csdn.net
CAS在windows AD下实现企业微信自动扫码登陆的总结
Easul
07-22 4691
基础名词 CAS(Central Authentication Service),可以看作心授权服务器 SSO(Single Sign On),单点登录 SSO相关知识 同SSO(blog.212490197.xyz和www.212490197.xyz) 同SSO(blog.212490197.xyz和www.212490197.xyz) SSO单点登录主要用于一套ID,密码登陆一套或多套系统。就像登陆支付宝之后,在登陆淘宝可以自动登陆,不需要再进行账号密码的输入。 下边的图显示了SSO登
AD用户密码状态检查
02-25
hta代码文件,可以查看windows活动目录(AD的用户的密码到期时间,非常的好用。找了好长时间,推荐收藏,推荐DIY。
.NET 获取 AD帐号密码过期时间
Flier's Sky
01-31 3113
原文:http://www.blogcn.com/User8/flier_lu/blog/4371854.html    .NET Framework 提供了 System.DirectoryServices 名字空间用于操作 AD 等支持 LDAP 接口的服务器,通过这组类我们能够很容易实现通过 AD 验证用户帐号,以及向 AD 查询用户及其所在组的信息,是在 Web 应用集成 AD 以实现
检测AD密码过期时间并邮件通知
weixin_33895516的博客
03-27 2122
############################################ #Author:wangtingdong #For:检测AD密码过期时间并邮件通知 #Version:1.0 ############################################## Import-Module Activedirectory...
使用SharePoint Management Shell查看AD用户的密码还有多少天过期
shrenk的专栏
09-27 2314
今天写了一个简单的命令,用来查看AD用户的密码过期s
查询 AD 帐户密码到期的用户
weixin_34293246的博客
02-14 2500
悦享人永久链接:http://yxzhao.com/2013/find-password-expired-ad-users/ 载请注明出处:悦享人-《查询 AD 帐户密码到期的用户》 可以使用 dsquery 命令行工具来获取符合一定条件的查询。用 dsquery user 命令可以执行与用户相关的条件查询,如可以查询帐号密码到期的用户等。 dsquery 有一...
ad用户和计算机丢失,清理AD无效计算机帐户
weixin_42128988的博客
06-16 1189
清理活动目录 AD计算机无效帐户。企业环境AD 使用时间长了之后, 客户端肯定会有系统崩溃, 系统重装的事件; 此类事件多了之后, 我发现AD 的computers下, 有很多无效的计算机帐户, 我自己重装做的PC , 我很清楚是哪些; 但其他人重装的, 我就不是很清楚了, 无法确定他们的PC 是否会重新接入内部AD 网络。这样的情况, 给网络心管理PC 带来了一定的麻烦。 如何清理这些...
如何获取公众号文章并保存有道笔记
qq_30210107的博客
11-12 1657
如何获取公众号文章并保存有道笔记写作目的1. 获取公众号文章链接2. 解析公众号文章3. 保存有道笔记源代码最后感想 写作目的 做这个程序是出于自己的学习目的。因为我有学习英语的习惯,每天看公众号TeachGwen的推送文章,并把相关文章短语词汇记录到有道笔记,方便以后复习。但又不是每次都可以在电脑面前学习,很多时候是对着手机看,手机上粘贴复制到有道笔记很麻烦,还容易出错。于是萌生了写个python爬虫自动抓取文章并保存有道笔记的想法。从有这个想法到最后写成,时间也不长,网上资料很多,实现也不复杂,主要使用
身份验证与授权:ASP.NET身份验证的高级应用
## ASP.NET的身份验证和授权机制 ASP.NET提供了一套强大的身份验证和授权机制,使开发人员可以轻松地对用户进行身份验证和访问控制。其包括Forms身份验证和Windows身份验证两种常用的认证方式。 ## Forms身份...
检查AD用户密码过期状态第3版
weixin_30950237的博客
08-09 384
呵呵,第三版又出来了,改成HTA形式的了,大家下面的脚本保存成文本文件,扩展名改成.hta就可以了。从最简单的两个脚本变成一个脚本,再变成现在的hta,充分说明了一件事情:只要不断努力就可以不断进步^_^===========以下为脚本部分,本行不包含在内==============<head><title>AD密码状态检查</title><HTA:App...
【原创】导出AD超过100天没有更改密码的用户
Young的博客
07-09 495
一、命令执行 以管理员权限运行PowerShell,输入以下命令 dsquery user domainroot -stalepwd 100 -limit 0 >c:\密码超过一百天用户.csv 命令解释: dsquery :显示命令 -stlepwd 100:密码未改 ,后边的100,是要查询未改多少天数的,按需要修改 -limit 0 :此命令是显示全部查询到的条目,数字可更...
活动目录AD 取用户过期时间accountExpires
weixin_30622107的博客
08-12 1832
今天整了一天时间,终于可以取到accountExpires 并换为DateTime时间。 private long LongFromLargeInteger(object largeInteger) { System.Type type = largeInteger.GetType(); int highPart = (int)type.InvokeM...
openldap用户相关操作(密码过期发邮件)
完颜振江
01-10 1148
策略检查 #cat PolicyCheck.sh #!/bin/bash UserID=$1 ldapsearch -D "cn=admin,dc=taeteadata,dc=com" -LLL -w 'xxxxxxxxxxxxxx' -b "cn=$UserID,ou=People,dc=taeteadata,dc=com" + 策略执行并且发邮件 #cat PasswordCheckMail.sh #!/bin/bash cd /opt/OpenLDAP/ endDate=`date +%Y%
C# 用户操作
07-02 209
using System;using System.DirectoryServices;namespace SystemFrameworks.Helper{ /// ///活动目录辅助类。封装一系列活动目录操作相关的方法。 /// public sealed class ADHelper { /// ///名...
AD取pc和user
wzhang1987的博客
11-14 137
ad上用ps跑下面脚本就行。
通过企业微信,向AD过期用户发送更改密码提醒
项小娃的博客
08-11 3023
1、连接AD的LDAP,对固定范围的所有用户进行递归查询,并获取范围内所有用户的相应信息2、有些应用有一个可信ip的设置功能,有些没有,我估计是企业微信改版了,老的应用没有,新创建的应用会有,如果有的话并且代码执行时报出ip不可信的错误,可以尝试设置一下应用的可信ip。3、使用企业微信提供的通过邮箱查找用户ID的API,通过邮箱查找企业微信该用户对应的企业微信ID。4、通过ID向用户发送消息提醒......
修改AD密码过期时间
weixin_33719619的博客
03-22 3975
开始---管理工具----Active Directory管理心 ,鼠标右键点击,打开的属性配置窗口,选属性编辑器,找到MaxPwdAge属性,设置为想要的时间。格式为<d:hh:mm:ss>。间要有冒号。可以填入无和从不--------------如:(无) 和(从不) 备注()是英文输入法的括号!!!!永不,代表的是永不过期。(但建议明确指定方便...
AD密码过期邮件提醒
u011226383的博客
02-18 5825
本文使用了PowerShell脚本实现提醒功能。 一、因为发送邮件功能需要验证用于发送邮件的账号密码,为了安全使用下面的命令对输入的密码进行加密并保存至文本,这里需要注意的是生成的密码文件仅能在本机使用,拷贝到其他电脑会失效: Read-Host "Enter Password" -AsSecureString | ConvertFrom-SecureString | Out-File "D:\pwd.txt" 二、下面编写PowerShell脚本,这里需要注意的是邮件正文可以使用html代码编写,并
linux环境下.net core修改AD用户密码
最新发布
06-07
在 Linux 环境下使用 .NET Core 修改 AD 用户密码,可以使用 `System.DirectoryServices.AccountManagement` 命名空间提供的 API。下面是示例代码: ```csharp using System; using System.DirectoryServices....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值