Windows Server 2008 R2 löst immer mehr Windows 2003 Server als Active Directory Controller ab. Dadurch entsteht für alle diejenigen ein Problem, die eine Anwendung im Einsatz haben, mit der gesperrte Benutzer im AD entsperrt werden können (Software für Passwortrücksetzung, IDM).
Grund hierfür ist, dass mit 2008 Server ein AD Schema Update auf Version 47 erfolgt und deshalb das Verfahren zum Entsperren eines Benutzers umgestellt werden muss.
Anstatt wie bei 2003 das Unlock-Bit als Hexwert mit der entsprechenden Maske (s.u.) in userAccountControl zu setzen, wird in 2008 eine Entsperrung dadurch erreicht, dass die Zeit im Attribut lockoutTime mit dem Integer-Wert 0 zurückgesetzt wird.
Entsperren bei Windows 2003 Server AD:
Attribut: userAccountControl
Maske: 0x0002
Wert: 0x0000
Entsperren bei Windows 2008 R2 Server AD:
Attribut: lockoutTime
Wert: 0
Hoffe das hilft, bei der bevorstehenden Umstellung. Ich selbst habe dafür ziemlich lange googeln müssen und will euch diese Tortur ersparen.
PS:
- Mit Entsperren in diesem Kontext ist gemeint, dass ein Benutzer, der seinen Account durch wiederholte Falscheingabe des Passwortes selbst gesperrt hat, wieder entsperrt wird.
- Änderungen im AD via LDAP erfordern einen autorisierten Zugriff via LDAPS. Der beim Connect verwendete Benutzer muss natürlich über das Recht verfügen, die genannten Attribute zu ändern.
Würde mich über einen Kommentar freuen, wenn der Post geholfen hat.
Keine Kommentare:
Kommentar veröffentlichen