Ldap之活动目录之属性
“常规”标签
姓 Sn
名 Givename
英文缩写 Initials
显示名称 displayName
描述 Description
办公室 physicalDeliveryOfficeName
电话号码 telephoneNumber
电话号码:其它 otherTelephone 多个以英文分号分隔
电子邮件 Mail
网页 wWWHomePage
网页:其它 url 多个以英文分号分隔
“地址”标签
国家/地区 C 如:中国CN,英国GB
省/自治区 St
市/县 L
街道 streetAddress
邮政信箱 postOfficeBox
邮政编码 postalCode
“帐户”标签
用户登录名 userPrincipalName 形如:javazeke@qq.com
用户登录名(以前版本) sAMAccountName 形如:S1
登录时间 logonHours
登录到 userWorkstations 多个以英文逗号分隔
用户帐户控制 userAccountControl (启用:512,禁用:514, 密码永不过期:66048)
帐户过期 accountExpires
属性标志 | 十六进制 | 十进制 | 说明 |
---|---|---|---|
SCRIPT | 0x0001 | 1 | 运行登录脚本 |
ACCOUNTDISABLE | 0x0002 | 2 | 账户禁用 |
HOMEDIR_REQUIRED | 0x0008 | 8 | 账户需要HOME目录 |
LOCKOUT | 0x0010 | 16 | 账户被锁定 |
PASSWD_NOTREQD | 0x0020 | 32 | 无需密码 |
PASSWD_CANT_CHANGE | 0x0040 | 64 | 用户不可更改密码(只读) |
ENCRYPTED_TEXT_PWD_ALLOWED | 0x0080 | 128 | 允许发送加密密码 |
TEMP_DUPLICATE_ACCOUNT | 0x0100 | 256 | 启用临时本地账户 |
NORMAL_ACCOUNT | 0x0200 | 512 | 典型用户 |
INTERDOMAIN_TRUST_ACCOUNT | 0x0800 | 2048 | 信任域间可信账户 |
WORKSTATION_TRUST_ACCOUNT | 0x1000 | 4096 | 工作站计算机 |
SERVER_TRUST_ACCOUNT | 0x2000 | 8192 | 域控制器 |
DONT_EXPIRE_PASSWORD | 0x10000 | 65536 | 密码永不过期 |
MNS_LOGON_ACCOUNT | 0x20000 | 131072 | 多数节点集(MNS)登录 |
SMARTCARD_REQUIRED | 0x40000 | 262144 | 需要智能卡登录 |
TRUSTED_FOR_DELEGATION | 0x80000 | 524288 | 允许进行Kerberos委派 |
NOT_DELEGATED | 0x100000 | 1048576 | 禁止安全正文的委派 |
USE_DES_KEY_ONLY | 0x200000 | 2097152 | 强制使用DES加密的密钥 |
DONT_REQ_PREAUTH | 0x400000 | 4194304 | 登录时无需Kerberos验证 |
PASSWORD_EXPIRED | 0x800000 | 8388608 | 密码已过期 |
TRUSTED_TO_AUTH_FOR_DELEGATION | 0x1000000 | 16777216 |
下表是userAccountControl 常见组合值:
十六进制值 | 十进制值 | 说明 |
---|---|---|
0x200 | 512 | 账户正常 |
0x202 | 514 | 账户禁用 |
0x220 | 544 | 账户正常,下次登录需要设置密码 |
0x10200 | 66048 | 密码永不过期 |
0x40200 | 262656 | 需要智能卡登录 |
0x82000 | 532480 | 域控制器(可进行Kerberos委派) |
分别表示密码永不过期,用户状态正常,用户被禁用针对上面那个66050你这么来解析66050=65536+512+2
在代码里的应用
FLAGS是一个数值用AND预算符和&H10000去与,与出来是65536的代表密码用不过期
if (Flags and &H10000)=65536 then
<%if (Flags and &H0002)=2 then%> 账户已禁用
<%if (Flags and &H100) =0then%> GLOBAL账户类型
实验证明
PHP的LDAP扩展搜索到的 userAccountControl 没有ADSI本地的userAccountControl 准确,比如账号密码过期状态,抓到的还是512值.很多时候值会相差1(少)
“配置文件”标签
配置文件路径 profilePath
登录脚本 scriptPath
主文件夹:本地路径 homeDirectory
连接 homeDrive
到 homeDirectory
“电话”标签
家庭电话 homePhone (若是其它,在前面加other。)
寻呼机 Pager 如:otherhomePhone。
移动电话 mobile 若多个以英文分号分隔。
传真 FacsimileTelephoneNumber
IP电话 ipPhone
注释 Info
“单位”标签
职务 Title
部门 Department
公司 Company
“隶属于”标签
隶属于 memberOf 用户组的DN不需使用引号, 多个用分号分隔
“拨入”标签 远程访问权限(拨入或VPN) msNPAllowDialin
允许访问 值:TRUE
拒绝访问 值:FALSE
回拨选项 msRADIUSServiceType
由呼叫方设置或回拨到 值:4
总是回拨到 msRADIUSCallbackNumber
“环境”、“会话”、“远程控制”、“终端服务配置文件”、“COM+”标签
属性
显示名称 |
属性名称 |
First Name |
givenName |
Last Name |
sn |
Initials |
initials |
Description |
description |
Office |
physicalDeliveryOfficeName |
Telephone
Number |
telephoneNumber |
Telephone:
Other |
otherTelephone |
E-Mail |
mail |
Web Page |
wwwHomePage |
Web Page:
Other |
url |
账号属性:
显示名称 |
属性名称 |
UserLogon Name |
userPrincipalName |
User logon
name (pre-Windows 2000) |
sAMAccountname |
Logon Hours |
logonHours |
Log On To |
logonWorkstation |
Account is
locked out |
userAccountControl |
User must
change password at next logon |
pwdLastSet |
User cannot
change password |
N/A |
Other Account
Options |
userAccountControl |
Account
Expires |
accountExpires |
地址属性
显示名称 |
属性名称 |
Street |
streetAddress |
P.O.Box |
postOfficeBox |
City |
l |
State/Province |
st |
Zip/Postal
Code |
postalCode |
Country/Region |
c , co ,
and countryCode |
成员属性
显示名称 |
属性名称 |
Member of |
memberOf |
Set Primary
Group |
primaryGroupID |
组织属性
显示名称 |
属性名称 |
Title |
title |
Department |
department |
Company |
company |
Manager:Name |
manager |
Direct Reports |
directReports |
外型属性
显示名称 |
属性名称 |
Profile Path |
profilePath |
Logon Script |
scriptPath |
Home Folder:
Local Path |
homeDirectory |
Home Folder:
Connect |
homeDrive |
Home Folder:
To |
homeDirectory |
电话相关属性
显示名称 |
属性名称 |
Home |
telephoneNumber |
Home: Other |
otherTelephone |
Pager |
pager |
Pager: Other |
pagerOther |
Mobile |
mobile |
Mobile: Other |
otherMobile |
Fax |
facsimileTelephoneNumber |
Fax: Other |
otherFacsimileTelephoneNumber |
IP phone |
ipPhone |
IP phone:
Other |
otherIpPhone |
Notes |
info |
联系客服