Ldap之活动目录之属性
“常规”标签
姓 Sn
名 Givename
英文缩写 Initials
显示名称 displayName
描述 Description
办公室 physicalDeliveryOfficeName
电话号码 telephoneNumber
电话号码:其它 otherTelephone 多个以英文分号分隔
电子邮件 Mail
网页 wWWHomePage
网页:其它 url 多个以英文分号分隔
“地址”标签
国家/地区 C 如:中国CN,英国GB
省/自治区 St
市/县 L
街道 streetAddress
邮政信箱 postOfficeBox
邮政编码 postalCode
“帐户”标签
用户登录名 userPrincipalName 形如:javazeke@qq.com
用户登录名(以前版本) sAMAccountName 形如:S1
登录时间 logonHours
登录到 userWorkstations 多个以英文逗号分隔
用户帐户控制 userAccountControl (启用:512,禁用:514, 密码永不过期:66048)
帐户过期 accountExpires
userAccountControl 基本属性属性标志 | 十六进制 | 十进制 | 说明 |
---|
SCRIPT | 0x0001 | 1 | 运行登录脚本 |
ACCOUNTDISABLE | 0x0002 | 2 | 账户禁用 |
HOMEDIR_REQUIRED | 0x0008 | 8 | 账户需要HOME目录 |
LOCKOUT | 0x0010 | 16 | 账户被锁定 |
PASSWD_NOTREQD | 0x0020 | 32 | 无需密码 |
PASSWD_CANT_CHANGE | 0x0040 | 64 | 用户不可更改密码(只读) |
ENCRYPTED_TEXT_PWD_ALLOWED | 0x0080 | 128 | 允许发送加密密码 |
TEMP_DUPLICATE_ACCOUNT | 0x0100 | 256 | 启用临时本地账户 |
NORMAL_ACCOUNT | 0x0200 | 512 | 典型用户 |
INTERDOMAIN_TRUST_ACCOUNT | 0x0800 | 2048 | 信任域间可信账户 |
WORKSTATION_TRUST_ACCOUNT | 0x1000 | 4096 | 工作站计算机 |
SERVER_TRUST_ACCOUNT | 0x2000 | 8192 | 域控制器 |
DONT_EXPIRE_PASSWORD | 0x10000 | 65536 | 密码永不过期 |
MNS_LOGON_ACCOUNT | 0x20000 | 131072 | 多数节点集(MNS)登录 |
SMARTCARD_REQUIRED | 0x40000 | 262144 | 需要智能卡登录 |
TRUSTED_FOR_DELEGATION | 0x80000 | 524288 | 允许进行Kerberos委派 |
NOT_DELEGATED | 0x100000 | 1048576 | 禁止安全正文的委派 |
USE_DES_KEY_ONLY | 0x200000 | 2097152 | 强制使用DES加密的密钥 |
DONT_REQ_PREAUTH | 0x400000 | 4194304 | 登录时无需Kerberos验证 |
PASSWORD_EXPIRED | 0x800000 | 8388608 | 密码已过期 |
TRUSTED_TO_AUTH_FOR_DELEGATION | 0x1000000 | 16777216 | |
下表是userAccountControl 常见组合值:
userAccountControl 常见组合值十六进制值 | 十进制值 | 说明 |
---|
0x200 | 512 | 账户正常 |
0x202 | 514 | 账户禁用 |
0x220 | 544 | 账户正常,下次登录需要设置密码 |
0x10200 | 66048 | 密码永不过期 |
0x40200 | 262656 | 需要智能卡登录 |
0x82000 | 532480 | 域控制器(可进行Kerberos委派)
|
分别表示密码永不过期,用户状态正常,用户被禁用针对上面那个66050你这么来解析66050=65536+512+2
在代码里的应用
FLAGS是一个数值用AND预算符和&H10000去与,与出来是65536的代表密码用不过期
if (Flags and &H10000)=65536 then
<%if (Flags and &H0002)=2 then%> 账户已禁用
<%if (Flags and &H100) =0then%> GLOBAL账户类型
实验证明
PHP的LDAP扩展搜索到的 userAccountControl 没有ADSI本地的userAccountControl 准确,比如账号密码过期状态,抓到的还是512值.很多时候值会相差1(少)
“配置文件”标签
配置文件路径 profilePath
登录脚本 scriptPath
主文件夹:本地路径 homeDirectory
连接 homeDrive
到 homeDirectory
“电话”标签
家庭电话 homePhone (若是其它,在前面加other。)
寻呼机 Pager 如:otherhomePhone。
移动电话 mobile 若多个以英文分号分隔。
传真 FacsimileTelephoneNumber
IP电话 ipPhone
注释 Info
“单位”标签
职务 Title
部门 Department
公司 Company
“隶属于”标签
隶属于 memberOf 用户组的DN不需使用引号, 多个用分号分隔
“拨入”标签 远程访问权限(拨入或VPN) msNPAllowDialin
允许访问 值:TRUE
拒绝访问 值:FALSE
回拨选项 msRADIUSServiceType
由呼叫方设置或回拨到 值:4
总是回拨到 msRADIUSCallbackNumber
“环境”、“会话”、“远程控制”、“终端服务配置文件”、“COM+”标签
属性