我想检查一下用户是否已经通过Windows域的身份validation。 为此,我想使用LDAP查询。 我了解到,有一个“authentication用户”组(S-1-5-11)可能会有窍门。 但如何将其包含到LDAP查询? (memberOf =authentication用户)不起作用。
谢谢,亚历山大
LDAP不会以您需要的方式跟踪此信息。 它可以知道用户的身份validation(检查你的假设组),但不是当他们取消身份validation时,它不知道何时将用户从组中删除。
现在你把queston标签为“Windows”,所以我将补充一下Active Directory LDAP的实现可以明确告诉你这一点。 但是,您必须查询DC的事件日志而不是LDAP,您将被限制为某些types的login。 例如,您可以知道用户何时login和退出join域的Windows计算机,而不是使用与Active Directory绑定的身份validation方法closuresWeb站点时的情况,因为会话信息仅在Web服务器上维护。 您还需要一些相当复杂的代码来配对login/注销。
这不能通过LDAP查询,因为“身份validation”状态不会反映到LDAP中。 “authentication用户”组是一种特殊的东西,它是一种“虚拟组”,它包含所有当前authentication的主体,但不是LDAP组。
除此之外,该组还将包含当前login到客户端系统的本地非域用户。
你应该更新你的问题或问一个新的“我如何获得login到域的用户列表”(并首先使用searchfunction和谷歌!)。
您可能想要尝试的是查看该帐户可能已通过身份validation的域控制器,以查看该帐户是否最近已经过身份validation。
https://msdn.microsoft.com/en-us/library/bb742435.aspx
Windows域控制器身份validationlogin日志logging和取证