Date d'expiration du mot de passe de l'utilisateur Active Directory .NET/OU Group Policy

Question

J'ai recherché sur le site pour obtenir des informations et trouvé ceci : ASP.NET C# Active Directory - Voir combien de temps avant l'expiration du mot de passe d'un utilisateur

qui explique comment obtenir la valeur de l'expiration du mot de passe selon la politique de domaine.

Ma question est la suivante : que se passe-t-il si l'utilisateur a une stratégie de groupe de OU qui a une valeur MaxPasswordAge différente, remplaçant celle spécifiée dans la stratégie de groupe de domaine ? Comment obtenir de manière programmatique l'objet de la stratégie de groupe de l'OU ?

Édition : Pour rendre cette question un peu plus claire, j'ajoute cette édition. Ce que je recherche, c'est de pouvoir dire quand le mot de passe de l'utilisateur expire. Autant que je comprenne, cette valeur de date peut être gouvernée par la politique locale des domaines ou par la politique de l'objet de groupe. J'ai un fournisseur Linq2DirectoryService qui traduit les requêtes Linq en requêtes Ldap. Donc, une requête LDAP pour obtenir la valeur d'expiration de la date serait optimale pour ce sujet. Si votre réponse inclut les objets wrappers pris en charge par .NET dans cette équation, ce serait une réponse parfaite !

Answer 1

Permettez-moi de commencer par http://support.microsoft.com/kb/323750 qui contient des exemples en Visual Basic et VBScript et http://www.anitkb.com/2010/03/how-to-implement-active-directory.html qui explique comment le paramètre OU maxPwdAge affecte les ordinateurs, pas les utilisateurs. Il contient également un commentaire pointant vers AloInfo.exe, un outil de MS qui peut être utilisé pour obtenir les âges des mots de passe.

Voici l'exemple:

using System;
using System.Collections.Generic;
using System.Linq;
using System.Text;
using System.DirectoryServices;

namespace LDAP
{
    class Program
    {
        static void Main(string[] args)
        {
            string domainAndUsername = string.Empty;
            string domain = string.Empty;
            string userName = string.Empty;
            string passWord = string.Empty;
            AuthenticationTypes at = AuthenticationTypes.Anonymous;
            StringBuilder sb = new StringBuilder();

            domain = @"LDAP://w.x.y.z";
            domainAndUsername = @"LDAP://w.x.y.z/cn=Lawrence E."+
                        " Smithmier\, Jr.,cn=Users,dc=corp,"+
                        "dc=productiveedge,dc=com";
            userName = "Administrateur";
            passWord = "xxxmotdepassexxx";
            at = AuthenticationTypes.Secure;

            DirectoryEntry entry = new DirectoryEntry(
                        domain, userName, passWord, at);

            DirectorySearcher mySearcher = new DirectorySearcher(entry);

            SearchResultCollection results;
            string filter = "maxPwdAge=*";
            mySearcher.Filter = filter;

            results = mySearcher.FindAll();
            long maxDays = 0;
            if(results.Count>=1)
            {
                Int64 maxPwdAge =(Int64)results[0]. Properties ["maxPwdAge"] [0];
                maxDays = maxPwdAge / -864000000000;
            }

            DirectoryEntry entryUser = new DirectoryEntry (
                        domainAndUsername, userName, passWord, at);
            mySearcher = new DirectorySearcher(entryUser);

            results = mySearcher.FindAll();
            long daysLeft = 0;
            if (results.Count >= 1)
            {
                var lastChanged = results[0]. Properties ["pwdLastSet"] [0];
                daysLeft = maxDays - DateTime.Today.Subtract(
                        DateTime.FromFileTime((long) lastChanged)).Days;
            }
            Console.WriteLine (
                        String.Format("Vous devez changer votre mot de passe dans"+
                                      " {0} jours"
                                     , daysLeft));
            Console.ReadLine();
        }
    }
}

Answer 2

Le code suivant a fonctionné pour moi pour obtenir la date d'expiration du mot de passe à la fois sur les comptes d'utilisateurs de domaine et locaux :

public static DateTime GetPasswordExpirationDate(string userId, string domainOrMachineName)
{
    using (var userEntry = new DirectoryEntry("WinNT://" + domainOrMachineName + '/' + userId + ",user"))
    {
        return (DateTime)userEntry.InvokeGet("PasswordExpirationDate");
    }
}

Answer 3

Utilisez la méthode suivante pour obtenir la date d'expiration du compte -

public static DateTime GetPasswordExpirationDate(string userId)
    {
        string forestGc = String.Format("GC://{0}", Forest.GetCurrentForest().Name);
        var searcher = new DirectorySearcher();
        searcher = new DirectorySearcher(new DirectoryEntry(forestGc));
        searcher.Filter = "(sAMAccountName=" + userId + ")";
        var results = searcher.FindOne().GetDirectoryEntry();
        return (DateTime)results.InvokeGet("PasswordExpirationDate");
    }

Answer 4

Certaines des réponses précédentes reposent sur la méthode DirectoryEntry.InvokeGet, que MS déconseille d'utiliser. Donc voici une autre approche:

public static DateTime GetPasswordExpirationDate(UserPrincipal user)
{
    DirectoryEntry deUser = (DirectoryEntry)user.GetUnderlyingObject();
    ActiveDs.IADsUser nativeDeUser = (ActiveDs.IADsUser)deUser.NativeObject;
    return nativeDeUser.PasswordExpirationDate;
}

Vous devrez ajouter une référence à la bibliothèque ActiveDS COM généralement située à C:\Windows\System32\activeds.tlb.