У меня есть файловый сервер Debian Samba, привязанный к Active Directory в качестве рядового сервера.
Мы создаем папку персонала для каждого сотрудника, соответствующего имени пользователя на этом сервере.
Когда сотрудники увольняются, их учетная запись пользователя Active Directory деактивируется и перемещается в деактивированное пользовательское OU.
Я хотел бы программно удалить персонал папки для сотрудников, которые ушли, но могут t найти инструмент, который будет различать активных и неактивных сотрудников. Я пробовал: команды "wbinfo --verbose -i" и "id".
Кто-нибудь знает команду Linux, которую я могу использовать, чтобы определить, активен ли сотрудник или деактивирован, или альтернативное состояние OU учетной записи пользователя расположен в.
Вы должны придерживаться утилиты openldap ldapsearch
, которая даст вам нужную информацию. Ключи, с которыми вы её запускаете, и дополнительные параметры зависят от вашей AD-конфигурации, такие как имя домена, координаты OU внутри корня LDAP и т.д.
Вы можете проанализировать вывод «Account Flags» pdbedit
, чтобы получить эту информацию.
Этот пример покажет вам механизм, как это сделать:
root@dc:~# { pdbedit -v -u Disabled.UserName | \
grep '^Account Flags.*D' >/dev/null; } && echo disabled
disabled
Предложение 1
Использование LDAP, вы можете проверить свойство userAccountControl для проверки статуса учетной записи AD.
Этот флаг представляет собой двоичные данные, выраженные в виде десятичных цифр, поэтому необходимо убедиться, что вычислено и проверено правильное десятичное значение
Например:
UF_NORMAL_ACCOUNT = 512
UF_ACCOUNT_DISABLE = 2 +
---
514
Следовательно, отключенная учетная запись пользователя будет иметь userAccountControl = 514
.
Все учетные записи пользователей являются "обычными" учетными записями (512) - ненормальные учетные записи - это вещи вроде учетных записей для доменных трастов (2048) и т.д.
В связи с этим свойством существует ряд других флагов, но некоторые из них недействительны, несмотря на то, что в противном случае они будут казаться недействительными. 512 = активна и 514 = отключена надежна для стандартной учетной записи пользователя, однако.
Полезный список этих флагов скомпилирован на SelfADSI.org:http://www.selfadsi.org/ads-attributes/user-userAccountControl.htm
Предложение 2
В качестве альтернативы, в вашей ситуации более простым LDAP-методом может быть проверка того, находится ли путь учетной записи в "неактивной" OU. Если вы установите корень поиска в "неактивное" OU, а затем возьмете список присутствующих там учетных записей, вы сможете сравнить их со списком существующих пользовательских домашних дисков, которые у вас есть.
.