我正在尝试查找将机器对象添加到活动目录组的时间戳。
我知道对象添加到组时不会更改其“上次修改”日期,因为正在修改的是组。我在 SCCM 中有一个查询,每 24 小时检查一次组。我的帮助台说它不起作用,我想确保添加是在他们说的时候发生的。
答案1
您可以使用 repadmin 来确定何时将值添加到成员属性。(对于在链接值复制之前在 Windows 2000 中创建的非常旧的组,这可能不起作用)。
repadmin /showobjmeta DCName "CN=Groupname,OU=SomeOU,DC=contoso,DC=Com"
在下面的例子中,成员是在 2014-03-27 10:02:48 添加的。
repadmin /showobjmeta CONTOSOSEADC1 "CN=HQUsers,OU=Groups,OU=HQ,DC=contoso,DC=com"
11 entries.
Loc.USN Originating DSA Org.USN Org.Time/Date Ver Attribute
======= =============== ========= ============= === =========
16521 CONTOSO-MDSite\CONTOSOMDDC1 112064 2014-03-27 10:02:30 1 objectClass
16521 CONTOSO-SEASite\CONTOSOSEADC1 16521 2015-12-04 10:09:13 1 cn
16521 CONTOSO-MDSite\CONTOSOMDDC1 112064 2014-03-27 10:02:30 1 instanceType
16521 CONTOSO-MDSite\CONTOSOMDDC1 112064 2014-03-27 10:02:30 1 whenCreated
16521 CONTOSO-MDSite\CONTOSOMDDC1 520631 2015-04-16 04:21:30 6 nTSecurityDescriptor
16521 CONTOSO-MDSite\CONTOSOMDDC1 112064 2014-03-27 10:02:30 1 name
16521 CONTOSO-MDSite\CONTOSOMDDC1 112064 2014-03-27 10:02:30 1 objectSid
16521 CONTOSO-MDSite\CONTOSOMDDC1 112064 2014-03-27 10:02:30 1 sAMAccountName
16521 CONTOSO-MDSite\CONTOSOMDDC1 112064 2014-03-27 10:02:30 1 sAMAccountType
16521 CONTOSO-MDSite\CONTOSOMDDC1 112064 2014-03-27 10:02:30 1 groupType
16521 CONTOSO-MDSite\CONTOSOMDDC1 112064 2014-03-27 10:02:30 1 objectCategory
2 entries.
Type Attribute Last Mod Time Originating DSA Loc.USN Org.USN Ver
======= ============ ============= ================= ======= ======= ===
Distinguished Name
=============================
PRESENT member 2014-03-27 10:02:48 CONTOSO-MDSite\CONTOSOMDDC1 16963 112070 1
CN=Greg Askew,OU=Users,OU=HQ,DC=contoso,DC=com