如何使用 LDAP 检索 Active Directory 组策略最长密码期限

Question

我想从公司 Active Directory 中检索有关密码的组策略，但我找不到任何信息，如何过滤我的搜索以查找属性。

一开始我喜欢获取最大密码年龄，应该是msDS-MaximumPasswordAge属性。

我一直在尝试的搜索词：

ldap_search($ldap, 'CN=Policies,CN=System,DC=company,DC=com', '(objectClass=*)', array('msDS-MaximumPasswordAge'));

这是我尝试过的最广泛的过滤器，但它returns没有计数不为零的对象。当然，为了这个例子，我替换了 DC 名称。

我是不是漏掉了什么？我应该在不同的容器下搜索吗？

Answer 1

您确定已实施组策略并启用了 msDS-PasswordSettings 吗？

您应该使用像 (&(objectClass=msDS-PasswordSettings))

这样的过滤器

和return一个属性"msDS-MaximumPasswordAge"。

MSDS-PasswordSettings 条目出现在 LDIF 中，例如：

dn: CN=PS??,CN=Password Settings Container,CN=System,DC=dc1,DC=contoso,DC=com
objectClass: msDS-PasswordSettings
msDS-MaximumPasswordAge:-1728000000000
msDS-MinimumPasswordAge:-864000000000
msDS-MinimumPasswordLength:8
msDS-PasswordHistoryLength:24
msDS-PasswordComplexityEnabled:TRUE
msDS-PasswordReversibleEncryptionEnabled:FALSE
msDS-LockoutObservationWindow:-18000000000
msDS-LockoutDuration:-18000000000
msDS-LockoutThreshold:0
msDS-PasswordSettingsPrecedence:20
msDS-PSOAppliesTo:CN=user1,CN=Users,DC=dc1,DC=contoso,DC=com

-吉姆