作者 主題: 利用ADExplorer到Win Server 2003撈取資料的問題  (閱讀 6592 次)

0 會員 與 1 訪客 正在閱讀本文。

final_king3

  • 可愛的小學生
  • *
  • 文章數: 22
    • 檢視個人資料
Dear all :

目的 : 想要自AD處取得已登入網域的使用者資料,欲取得資料為 : 使用者帳號、密碼、IP、MAC

Try 過程 :
Step 1 : 已利用Win Server 2003架設一AD,並建立測試網域。

Step 2 : 在網域 -> Users -> 按右鍵新增使用者 -> 建立好帳號、密碼。

Step 3 : 在Win Server 2003利用VM Ware建立一Win XP,並將Win XP的Gateway、DNS都設定為Win Server 2003的IP,並加入測試網域。

Step 4 : 利用ADExplorer連進Win Server 2003檢視,發現可以看到使用者的登入/登出時間、名稱、帳號、作業系統和作業系統的版本....等等

結果 : 找不到有關Password或IP等欄位或資料

搜尋解決辦法 :
1. 利用 google 搜尋 : 找到此資料,但因為不懂得GPO和Logon Script等方法,所以尚未實際測試,也不確定是否可行....

2. 至討論區發問 : 已利用過關鍵字搜尋,輸入過『取得 AD IP』、『取得已登入IP』、『取得 已登入 IP』....,但是未找到相關解決方案...

煩請各位有相關經驗或需求還是有興趣的人...可以提供一些思考方向,或是指導一下是否有觀念錯誤的地方,感激不盡....可喜可樂....

eose

  • 活潑的大學生
  • ***
  • 文章數: 499
  • 性別: 男
    • 檢視個人資料
為何要知道登入使用者的密碼??

另外,基本上無法使用Tool知道AD密碼的,建議放棄吧!

final_king3

  • 可愛的小學生
  • *
  • 文章數: 22
    • 檢視個人資料
首先感謝eose不吝嗇的指導~

再問 :
1. 如果無法透過Tool取得密碼的話,利用程式是否可以取得?

2. 我主要目的是想要知道,是否可以自AD那裡取得已登入網域的使用者之IP或MAC?或者是可以自AD得知哪些使用者已登入? (後面問題的解法,不知是否透過撈取登入時間欄位的資料即可解決?)

如果有思考或邏輯錯誤的地方,再次煩請鄉民們提供建議或是指導方向....  此問題已困擾許久...真是可喜可樂...

final_king3

  • 可愛的小學生
  • *
  • 文章數: 22
    • 檢視個人資料
首先感謝eose不吝嗇的指導~

再問 :
1. 如果無法透過Tool取得密碼的話,利用程式是否可以取得?

2. 我主要目的是想要知道,是否可以自AD那裡取得已登入網域的使用者之IP或MAC?或者是可以自AD得知哪些使用者已登入? (後面問題的解法,不知是否透過撈取登入時間欄位的資料即可解決?)

如果有思考或邏輯錯誤的地方,再次煩請鄉民們提供建議或是指導方向....  此問題已困擾許久...真是可喜可樂...

拍謝... 更正一下~
1. 尚未回答到eose的問題 : 因為為了想要可以賣產品給已經有使用AD進行作業的公司,所以目前公司的產品有朝著想與AD整合的方向去做...但是,由於我與相關同事都未有過此經驗,所以只好向外求援.....

另外,我的意思是說 : 如果無法透過既有的Tool(如:ADExplorer)去取得的話,是否可以透過程式去撈取欄位資料得知....  已經有先用 google 搜尋過相關實作方案,已經有許多程式碼可供參考...但是尚未實作!

2. 因為想先搞清楚此問題的思考方向是否正確,如果有錯誤的話,再請各位鄉民們予以糾正或指導!!等待確定方向正確之後,再開始實作...

eose

  • 活潑的大學生
  • ***
  • 文章數: 499
  • 性別: 男
    • 檢視個人資料
1.AD密碼因有加密應該無法反解出來,用什麼程式應該都一樣.整合部份看你們是應用在什麼上,像我們公司的產品是IIS跟AD整合,這設定一下就好了,沒很難.
   如果是寫程式的部份就要請其他人提供意見了.

2.剛看ADExplorer裡可以讀到LastLogon,建議看看http://msdn.microsoft.com/en-us/library/ms675085%28VS.85%29.aspx

final_king3

  • 可愛的小學生
  • *
  • 文章數: 22
    • 檢視個人資料
再次感謝eose的鼎力相助~ 
我剛才已經到eose貴人所提供的MSDN網站看過,網頁裡面有個『all Atributes』的連結,點進去後發現有個『ipProtocolNumber』的東東....

但是,有鑒於我對AD尚未有深入的了解,目前僅知道它是一種提供查詢的目錄,並且是採取階層式、樹狀式的方法存放資料...。

另外,我再搭配ADExplorer這個工具去對照來看,猜測這應該是屬於『CN=Schema, CN=Configuration, DC=msft, DC=com, DC=tw,192.168.0.50[test.msft.com.tw]』這個物件裡面的一項子物件...  只是我的ADExplorer上面,有些屬性資料有顯示,部分屬性資料卻未顯示(或是 : ADExplorer所顯示的部分屬性名稱,並未和MSDN的網站相同)。


並且我只看到『CN=Ipsec-Data』'、『CN=Ipsec-Data-Type』....但是並沒有顯示『CN=IpProtocolNumber』或是『CN=IpNetworkNumber』...等屬性資料。

此外,照這樣子看來,這個好像是只屬於Win Server 2003本機的資料...

所以,我想再請問一下 :
這個『CN=Schema, CN=Configuration, DC=msft, DC=com, DC=tw,192.168.0.50[test.msft.com.tw]』物件的『CN=Schema』是只有屬於本機呢?還是除了本機以外,在網域內的其他使用者也有具備相同的『CN=Schema』欄位?

因為,如果是除了AD本機Win Server 2003擁有『CN=Schema』屬性之外,其他在網域內的使用者也具有『CN=Schema』的話,那是否代表我就可以想辦法利用寫的程式(如 : LDAP),去撈取使用者的資料呢...??

如果想法或是思考方向有錯誤,再煩請各位鄉民不吝嗇地給予在下的小弟弟指導....  在下的小弟弟會感激到痛哭流涕滴....真是可喜可樂....