Как вывести всех активных пользователей домена?

Раздел: Советы
Написано: 16.09.2011
Автор: Antonio

Как-то возникла необходимость вывести списочек всех активных пользователей домена, так как в домене много групп, неактивных пользователей, а список нужно было распечатать. То я решил немного по исследовать данный вопрос.

И так, вывести всех активных пользователей домена можно выполнив команду:

dsquery * domainroot -filter "(&(objectCategory=person)(objectClass=user)(userAccountControl=66048))" -limit 1000 | dsget user -display | sort

Команда выполняется в командной строке (cmd)
Параметр userAccountControl может принимать значения:
66048 = Enabled (активные пользователи)
66050 = Disabled (выключенные)

Вот так просто и незатейливо.

Фразы: список пользователей домена, вывести список, Windows 2003 AD, только активные доменные пользователи.

Добавлено: 30.09.2016
Коды UserAccountControl Active Directory

UserAccountControl_Num,Account_Status
512,Account: Enabled
514,Account: ACCOUNTDISABLE
528,Account: Enabled – LOCKOUT
530,Account: ACCOUNTDISABLE – LOCKOUT
544,Account: Enabled – PASSWD_NOTREQD
546,Account: ACCOUNTDISABLE – PASSWD_NOTREQD
560,Account: Enabled – PASSWD_NOTREQD – LOCKOUT
640,Account: Enabled – ENCRYPTED_TEXT_PWD_ALLOWED
2048,Account: INTERDOMAIN_TRUST_ACCOUNT
2080,Account: INTERDOMAIN_TRUST_ACCOUNT – PASSWD_NOTREQD
4096,Account: WORKSTATION_TRUST_ACCOUNT
8192,Account: SERVER_TRUST_ACCOUNT
66048,Account: Enabled – DONT_EXPIRE_PASSWORD
66050,Account: ACCOUNTDISABLE – DONT_EXPIRE_PASSWORD
66064,Account: Enabled – DONT_EXPIRE_PASSWORD – LOCKOUT
66066,Account: ACCOUNTDISABLE – DONT_EXPIRE_PASSWORD – LOCKOUT
66080,Account: Enabled – DONT_EXPIRE_PASSWORD – PASSWD_NOTREQD
66082,Account: ACCOUNTDISABLE – DONT_EXPIRE_PASSWORD – PASSWD_NOTREQD
66176,Account: Enabled – DONT_EXPIRE_PASSWORD – ENCRYPTED_TEXT_PWD_ALLOWED
131584,Account: Enabled – MNS_LOGON_ACCOUNT
131586,Account: ACCOUNTDISABLE – MNS_LOGON_ACCOUNT
131600,Account: Enabled – MNS_LOGON_ACCOUNT – LOCKOUT
197120,Account: Enabled – MNS_LOGON_ACCOUNT – DONT_EXPIRE_PASSWORD
532480,Account: SERVER_TRUST_ACCOUNT – TRUSTED_FOR_DELEGATION (Domain
Controller)
1049088,Account: Enabled – NOT_DELEGATED
1049090,Account: ACCOUNTDISABLE – NOT_DELEGATED
2097664,Account: Enabled – USE_DES_KEY_ONLY
2687488,Account: Enabled – DONT_EXPIRE_PASSWORD – TRUSTED_FOR_DELEGATION –
USE_DES_KEY_ONLY

Поделиться с друзьями или в соц.сетях (спасибо)
Ещё похожие заметки:

5 комментариев

Antonio
Янв 30, 2012 02:58

Так же можно решить вопрос
Как вывести список отключенных пользователей в домене Windows 2003?

 
Сергей
Окт 12, 2015 10:20

Привет, Антон!
С твоего позволения, внесу небольшую поправку в статью:
инструкция 66048 = Enabled выведет всех активных пользователей, для которых стоит параметр «срок действия пароля не ограничен». Чтобы вывести список всех активных пользователей нужна инструкция userAccountControl=512.

В моем случае строка выглядит так (с выводом списка в файл):
dsquery * domainroot -filter «(&(objectCategory=person)(objectClass=user)(userAccountControl=512))» -limit 1000 | dsget user -display | sort > c:\act_users.txt

При этом в список не попадут учетные записи которые не отключены, но заблокированы.

Вот список параметров userAccountControl:
512 — Enable Account
514 — Disable account
544 — Account Enabled — Require user to change password at first logon
4096 — Workstation/server
66048 — Enabled, password never expires
66050 — Disabled, password never expires
262656 — Smart Card Logon Required
532480 — Domain controller

 
Antonio
Окт 12, 2015 11:08

Сергей, спасибо за добавление информации.

У меня как раз был такой случай, поэтому наверное не уточнил, а вот кому-то однозначно пригодится!

 
Edward
Сен 23, 2016 09:10

Ребята спасибо за бесценную информацию!
Но у меня в домене присутствуют пользователи со статусом учетной записи только 544, 546, 2080, 66048, 66080, 1114624.
Стало быть 546, 2080, 66080, 1114624 не попали в ваш список.
Может хоть у вас есть информация, к какой группе пользователей они относятся???
Уже два дня гугления не приносят никакой пользы, везде информация противоречивая. Нашел хорошую статью, но не могу в ней разобраться csharpcoderr.com/2013/12/userdomainuserAccountControl.html
(это не реклама, а очень нужная информация, которую два дня искал поэтому, думаю модераторы простят мне это)

 
Antonio
Сен 30, 2016 07:51

Edward, спасибо за отзыв, вот расшифровка кодов

Коды UserAccountControl
544 — Account Enabled — Require user to change password at first logon
546 — Disabled, Password Not Required
2080 — Account INTERDOMAIN_TRUST_ACCOUNT – PASSWD_NOTREQD
66080 — Account Enabled — DONT_EXPIRE_PASSWORD — PASSWD_NOTREQD
66048 — Enabled, password never expires

1114624 — этого я нигде не нашел, возможно опечатка

Лучше привести AD к чему-то единому, так будет проще =)

 

Написать

Копирование информации с сайта возможно только с указанием прямой ссылки - https://nemcd.com