AD LDAP sync Google Mail

При настройки синхронизации данных из AD по LDAP в Google apps столкнулся с такими проблемами
Первая проблема LDAP при создании строки запроса
(&(objectCategory=person)(!msExchMailboxGuid=*))
выдавало ошибку
FAILURE : Failed to execute query because the object at Base DN: «domen» is missing or inaccessible.

Решение было в синтаксисе правильно заключить в скобки
(&(objectCategory=person)(!(msExchMailboxGuid=*))(!(userAccountControl:1.2.840.113556.1.4.803:=2)))
Этот фильтр все активные пользователи + без включенной почты exchnage

Вторая проблема я начал на поше выборки и пришел в ограничения 1000 лимит запроса LDAP (LDAP limit 1000 records)
его можно увеличить значением maxPageSize которое править так
ntdsutil
ntdsutil: ldap policies
ldap policy: connections
server connections: connect to server DC1
server connections : q
ldap policy : show values
ldap policy : set maxpagesize to 7000
ldap policy : commit changes
ldap policy : q
ntdsutil : q

Также доступны материалы по запросам LDAP microsoft
Также доступны материалы по примерам запросов LDAP Google
Пример на powershell для тестов запросов LDAP

 

Запросы LDAP Google

Оператор Символ Описание
равно = Создает фильтр по полю с указанным значением.
любое значение * Соответствует полю с любым значением, кроме NULL.
скобки ( ) Разделяет фильтры. Этот оператор необходим для работы логических функций.
и & Объединяет фильтры. Все условия должны иметь значение TRUE.
или | Объединяет фильтры. Хотя бы одно условия должно иметь значение TRUE.
не ! Исключает все объекты, соответствующие фильтру.

Основные запросы LDAP подходят для большинства серверов каталогов.

 

Возвращает все объекты, которые могут вызывать проблемы при загрузке:
objectclass=*Возвращает всех пользователей:
(&(objectclass=user)(objectcategory=person))

Возвращает только списки рассылок:
(objectcategory=group)

Возвращает только общедоступные папки:
(objectcategory=publicfolder)

Возвращает всех пользователей, кроме тех, чей основной адрес электронной почты начинается с test:
(&(&(objectclass=user)(objectcategory=person))(!(mail=test*)))

Возвращает всех пользователей, кроме тех, чей основной адрес электронной почты заканчивается на test:
(&(&(objectclass=user)(objectcategory=person))(!(mail=*test)))

Возвращает всех пользователей, кроме тех, чей основной адрес электронной почты содержит значение test:
(&(&(objectclass=user)(objectcategory=person))(!(mail=*test*)))

Возвращает всех пользователей и все принадлежащие им псевдонимы, которые числятся в группе или списке рассылки:
(|(&(objectclass=user)(objectcategory=person))(objectcategory=group))

Возвращает всех пользователей, все группы и контакты, кроме тех, которые содержат значение, указанное в атрибуте extensionAttribute9:
(&(|(|(&(objectclass=user)(objectcategory=person))(objectcategory=group))(objectclass=contact))(!(extensionAttribute9=*)))

Возвращает всех пользователей, состоящих в группе, указанной с помощью уникального имени CN=GRoup,CN=Users,DC=Domain,DC:
(&(objectclass=user)(objectcategory=person)(memberof=CN=GRoup,CN=Users,DC=Domain,DC=com))

Возвращает всех пользователей:

  • на LDAP-сервере Microsoft Active Directory® – (&(objectCategory=person)(objectClass=user));
  • на сервере OpenLDAP™ – (objectClass=inetOrgPerson);
  • на LDAP-сервере IBM® Notes® Domino – (objectClass=dominoPerson).

Выполняет поиск пользователей и групп на LDAP-сервере IBM Notes Domino:
(&(|(objectclass=dominoPerson)(objectclass=dominoGroup)(objectclass=dominoServerMailInDatabase))(mail=*))

Возвращает всех активных пользователей в Active Directory, у которых есть адрес электронной почты:
(&(objectCategory=person)(objectClass=user)(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))

Возвращает всех пользователей, состоящих в группе 1 или группе 2 (необходимо задать уникальные имена групп):
(&(objectclass=user)(objectcategory=person)(|(memberof=CN=Group_1,cn=Users,DC=Domain,DC=com)(memberof=CN=Group_2,cn=Users,DC=Domain,DC=com)))

Возвращает всех пользователей, которым присвоен атрибут extensionAttribute1 со значением Engineering (разработка) или Sales (продажи):
(&(objectcategory=user)(|(extensionAttribute1=Engineering)(extensionAttribute1=Sales)))

Читать далее »

Пример на powershell для тестов запросов LDAP

Этот код делает запрос LDAP к домену (&(objectCategory=person)(!msExchMailboxGuid=*))
выбирает всех пользователей с включенной почтой exchnage

$objSearcher = New-Object System.DirectoryServices.DirectorySearcher
$objSearcher.SearchRoot = «LDAP://dc=corp,dc=ru»
$objSearcher.Filter = «(&(objectCategory=person)(!msExchMailboxGuid=*))»
$objSearcher.Filter = «(objectCategory=person)»
$users = $objSearcher.FindAll()
$i=0
Foreach($User in $Users) {
$i++;
» $($i)- $($user.Properties.mailnickname)»
» $($i)- $($user.Properties.mailnickname)» >> 1.1
# $user.Properties.displayname
#
}
«Всего -$($users.Count)»

Другие фильтров LDAP Microsoft
Другие фильтров LDAP Google
Синхронизация AD LDAP и Google Mail

 

Перенос КриптоПро ключей ЭЦП

Перенос КриптоПро, ключей ЭЦП, сертификатов с одного компьютера на другой

Инструкция по переносу лицензии КриптоПро, закрытых ключей ЭЦП и сертификатов с одного компьютера на другой.

1. Перенос лицензии криптопро.

Серийный номер КриптоПро CSP 3.6 находится в ветке реестра

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\05480A45343B0B0429E4860F13549069\InstallProperties]

в значении параметра ProductID (имя раздела 05480A45343B0B0429E4860F13549069 может оказаться другим).

Читать далее »

запросы LDAP microsoft

Примеры LDAP для работы с AD

Читать далее »

Powershell замерить время выполнения командлета

Вариант 1

Measure-Command {

write-host » нагрузка» >>test1.txt

}

Вариант 2

$watch = [System.Diagnostics.Stopwatch]::StartNew()
$watch.Start() #Запуск таймера
write-host » нагрузка» >>test1.txt
$watch.Stop() #Остановка таймера
Write-Host $watch.Elapsed #Время выполнения

убрать рекламу в скайпе

Чтобы убрать рекламу в скайпе  через host нужно добавить в файле host  три строки такого содержания
Читать далее »

Отключить рекламу в utorrent

Чтобы отключить рекламу в utorrent достаточно перевести три параметра в состояние false.
Зайти в Настройки — Настройки программы — Дополнительно
Читать далее »

Детский голос дата выхода

Детский голос на 1 канале выйдет после олимпиады.

Корзина Active Directory Recycle Bin в домене Windows Server 2008 R2

Использование корзины Active Directory Recycle Bin в домене Windows Server 2008 R2.

Для возможности активации корзины AD функциональный уровень леса должен быть не ниже – Windows Server 2008 R2. Чтобы проверить текущий уровень леса выполним:

Import-Module ActiveDirectory
Get-ADForest | Format-List Name,ForestMode,DomainNamingMaster

Параметр DomainNamingMaster вернёт нам имя сервера, который выполняет роль мастера именования (Domain Naming Master FSMO). Имя этого сервера потребуется нам в дальнейшем при включении функционала корзины AD.
Если уровень значения ForestMode ниже Windows2008R2Forest и вы готовы выполнить его повышение, выполним:
Get-ADForest | Set-ADForestMode –ForestMode Windows2008R2Forest Читать далее »