很长时间没有使用的活动目录用户账户可能会在用户或者管理员毫不知情的情况下过期。编写一个脚本查找过期的账户,或者过期的账户的口令,是非常乏味的。这可能就是JoeWare.net网站的Joe Richards发布FindExpAcc工具软件的原因。
FindExpAcc是一种命令行工具。可向本地LDAP服务器查询任何过期的账户,并且得到一种以逗号分隔格式返回的结果。这种搜索适用于普通过期的账户,也适用于口令过期的账户。这个软件还提供了很多的命令行选项,我将简要介绍如下:
skipforced: 由于管理员的干预,不要显示包含过期口令的账户。
pwd:检查口令是否过期而不检查账户。
dsq:仅打印应答中引用的DNS。
days n:查看n天以前的记录,看看哪些账户在那个时候过期。注意,这项功能仅以固定的24小时为周期向前查询,不能从指定的某一天的开始进行查询。还要注意,如果账户是以负数的号码显示过期的天数,那就表示已经过期了多少天了。
t n:连接的超时时间(缺省是120秒)。
excldn nn:nn:nn:提供一套字符串,以便从输出的数据中过滤查询对象。
s scope:改变LDAP搜索范围。缺省设置是子树;其它值还包括根和个人。
h hostname:改变缺省的LDAP服务器。这种服务器通常是由活动目录确定的。如果活动目录没有运行,需要具体指定一个活动目录。主机名称可以是一台机器的名字或者是一个IP地址。
