mosigra wiki

LDAP запросы используются, например, в оснастке «Active Directory - пользователи и компьютеры» в разделе «Сохраненные запросы»

нажимаем правой кнопкой мыши по «Сохраненные запросы» → «Создать» → «Запрос», придумываем «Имя» и «Описание», нажимаем «Запрос», в «Найти» выбираем «Пользовательский поиск», выбираем вкладку «Дополнительно» и в поле «Введите запрос LDAP» вводим LDAP запрос.

далее примеры LDAP запросов:

отключенные пользователи (заблокировал администратор)

(&(objectcategory=person)(objectclass=user)(userAccountControl:1.2.840.113556.1.4.803:=2))

включенные пользователи

(&(objectcategory=person)(objectclass=user)(!userAccountControl:1.2.840.113556.1.4.803:=2))

мертворожденные аккаунты (никогда не заходили в домен)

(&(&(objectCategory=person)(objectClass=user)(!userAccountControl:1.2.840.113556.1.4.803:=2))(|(lastLogon=0)(!(lastLogon=*))))

заблокированные пользователи (были заблокированы автоматически из соображений безопасности, например: Ввели более 10 раз неправильный пароль)

(&(objectcategory=person)(objectclass=user)(userAccountControl:1.2.840.113556.1.4.803:=16))

устаревшие пользователи (не заходили в домен с 01.01.2017)

(&(objectcategory=person)(objectclass=user)(LastLogon<=131278644000000000)(!userAccountControl:1.2.840.113556.1.4.803:=2))

параметр LastLogon можно проверить в командной строке:

w32tm /ntte 131278644000000000
151942 21:00:00.0000000 - 03.01.2017 0:00:00

в другую сторону можно конвертировать с помощью онлайн калькуляторов дат, нужно посчитать количество секунд между искомой датой и 04.01.1601 00:00:00 + часовой пояс (для Москвы: 04.01.1601 03:00:00) и умножить это число на 10000000