Получить пользователей домена в четвёрке

[_scorp_]

Как то писал такую вещь на C#. Собирает всех пользователей в AD через LDAP. Вот используемые классы:

X++:

class Connection
    {
        public System.DirectoryServices.DirectoryEntry root;
        public Connection(String connectString)
        {
            this.root = new System.DirectoryServices.DirectoryEntry(connectString);
        }
    }
 
class MyComparator : System.Collections.IComparer
    {
        int System.Collections.IComparer.Compare(object a, object b)
        {
            User u1 = (User)a;
            User u2 = (User)b;
            int res = u1.city.CompareTo(u2.city);
            if (res == 0)
            {
                res = u1.department.CompareTo(u2.department);
                if (res == 0)
                    res = u1.fio.CompareTo(u2.fio);
            }
            return res;
        }
    }
 
class User
    {
        public String fio;
        public String city;
        public String department;
        public String position;
        public String internalNumber;
        public String externalNumber;
        public String email;
        public String icq;
        public String skype;
        public String birthday;
        public User() 
        {             
            this.fio = "";
            this.city = "";
            this.department = ""; 
            this.position = "";
            this.internalNumber = "";
            this.externalNumber = "";
            this.email = "";
            this.icq = "";
            this.skype = "";
            this.birthday = "";
        }
        public void fill(System.DirectoryServices.DirectoryEntry elem)
        {
            try
            {   this.fio = elem.Properties["displayName"].Value.ToString(); }
            catch
            {   this.fio = "";  }
            try
            {   this.city = elem.Properties["l"].Value.ToString(); }
            catch
            {   this.city = ""; }
            try
            {   this.department = elem.Properties["department"].Value.ToString(); }
            catch
            {   this.department = "";   }
            try
            {   this.position = elem.Properties["title"].Value.ToString();    }
            catch
            {   this.position = "";  }
            try
            {   this.internalNumber = elem.Properties["telephoneNumber"].Value.ToString();    }
            catch
            {   this.internalNumber = "";   }
            try
            {   this.externalNumber = elem.Properties["homePhone"].Value.ToString();    }
            catch
            {   this.externalNumber = "";   }
            try
            {   this.email = elem.Properties["mail"].Value.ToString();  }
            catch
            {   this.email = "";   }
            try
            {   this.icq = elem.Properties["pager"].Value.ToString();   }
            catch
            {   this.icq = "";  }
            try
            {   this.skype = elem.Properties["ipPhone"].Value.ToString();  }
            catch
            {   this.skype = "";    }
        }
    }
 
[Flags]
    public enum AdsUserFlags
    {
        Script = 1,                  // 0x1
        AccountDisabled = 2,              // 0x2
        HomeDirectoryRequired = 8,           // 0x8 
        AccountLockedOut = 16,             // 0x10
        PasswordNotRequired = 32,           // 0x20
        PasswordCannotChange = 64,           // 0x40
        EncryptedTextPasswordAllowed = 128,      // 0x80
        TempDuplicateAccount = 256,          // 0x100
        NormalAccount = 512,              // 0x200
        InterDomainTrustAccount = 2048,        // 0x800
        WorkstationTrustAccount = 4096,        // 0x1000
        ServerTrustAccount = 8192,           // 0x2000
        PasswordDoesNotExpire = 65536,         // 0x10000
        MnsLogonAccount = 131072,           // 0x20000
        SmartCardRequired = 262144,          // 0x40000
        TrustedForDelegation = 524288,         // 0x80000
        AccountNotDelegated = 1048576,         // 0x100000
        UseDesKeyOnly = 2097152,            // 0x200000
        DontRequirePreauth = 4194304,          // 0x400000
        PasswordExpired = 8388608,           // 0x800000
        TrustedToAuthenticateForDelegation = 16777216, // 0x1000000
        NoAuthDataRequired = 33554432         // 0x2000000
    }
 
    class AllUsers
    {
        public System.Collections.ArrayList users;
        public AllUsers()
        {
            this.users = new System.Collections.ArrayList();
        }
        public void collectUsers(System.DirectoryServices.DirectoryEntry root)
        {
            foreach (System.DirectoryServices.DirectoryEntry elem in root.Children)
            {
                if (string.Compare(elem.SchemaClassName, "user") != 0)
                    this.collectUsers(elem);
                else
                {                    
                    AdsUserFlags userFlags = (AdsUserFlags)elem.Properties["userAccountControl"].Value;
                    if ((userFlags & AdsUserFlags.AccountDisabled) != AdsUserFlags.AccountDisabled)
                    {
                        User us = new User();
                        us.fill(elem);
                        this.users.Add(us);
                    }
                }
            }
        }
    }

А вот собственно использование:

X++:

class Program
    {
        static void Main(string[] args)
        {       
            Connection con = new Connection(@"LDAP://bla-bla-bla");
            AllUsers users = new AllUsers();
            users.collectUsers(con.root);
            users.users.Sort(new MyComparator());                               
        }
    }

В итоге класс users будет содержать всех пользователей из каталога который Вы укажите в строке подключения через LDAP.

[gl00mie]

Цитата:

Сообщение от Eland

sukhanchik, ты абсолютно прав. Причина именно такая: стандартный импорт не позволяет добавлять пользователей, у которых нет в Member of данных. Наши админы их так создали. А добавить надо. Вот и маюсь.

Не торопитесь с выводами. Была некогда тема касаемо того, что мастер создания пользователей при импорте из AD видел далеко не всех пользователей. Дело было вовсе не в принадлежности к какой-либо группе, а в том, что, по-видимому, на некоторые объекты AD в доменах w2k и w2k3 устанавливаются различные права доступа для компьютеров домена (в предположении, что AOS работает под LocalSystem или NetworkService и к AD получает доступ по учетной записью компьютера). В результате AOS "видит" не всех пользователей, в то время как вы видите их полный список.

Цитата:

Сообщение от Eland

Через mmc получается получать список всех пользователей в домене, значит права на доступ есть..

Для чистоты эксперимента mmc надо запускать под тем же пользователем, что и AOS

Цитата:

Сообщение от Eland

скриптик запустить не удалось, отмазывается тем, что таблица не существует, код ошибки: 80040E37. Вылетает на попытке запустить запрос на строке:

X++:

set oRS                 = oCmd.execute

Очень странно - щас проверил на рабочем компе (обычный доменный комп, обычный доменный пользователь) - у меня работает. Попробуйте перед oCmd.execute вставить строку

X++:

wscript.echo strADOQuery

и посмотреть, какой запрос отправляется. Должно получиться что-то вроде

Код:

<LDAP://DC=workdomain,DC=ru>;(&(objectCategory=person)(objectClass=user));name,sAMAccountName,displayName,adspath;subtree

где workdomain.ru - ваш домен по умолчанию.

Цитата:

Сообщение от _scorp_

Как то писал такую вещь на C#. Собирает всех пользователей в AD через LDAP.

Прелесть использования ADODB-провайдера доступа к AD в том, что можно не заморачиваться самому с рекурсией, просто указав параметр "subtree" в запросе К слову, если дело в том, что под учетной записью, под которой работает AOS, видны не все пользователи, то тут переписывание кода на C# не поможет - результат будет тот же, если только из кода C# не подключаться к AD явно под каким-то другим пользователем.