DCs und RODCs per LDAP Query abfragen

Heute beschäftigte mich mal wieder das Thema, wie man effektiv alle schreibbaren Domain Controller und RODCs in einer Active Directory Domain abfragen kann. Hintergrund war in diesem Fall ein Tool, das für einen Benutzer die Werte von badPwdCount, badPasswordTime, lastLogon und lastLogoff abfragen kann, die in einem AD nicht repliziert werden. D.h. sie müssen von jedem DC abgefragt und der maximale Wert verwendet werden.

Und siehe da, ich fand eine sehr einfache Lösung:

Domain Controller sind automatisch Mitglied der AD-Gruppe “Domain Controllers” und RODCs sind Mitglied der Gruppe “Read-only Domain Controllers” und haben diese auch als primäre Gruppe gesetzt.

Da diese beiden Gruppen builtin sind, haben sie auch immer dieselben RIDs von 516 resp. 512. Damit können die DCs und RODCs sehr einfach über folgende LDAP Queries abgefragt werden:

primaryGroupId=516

für Domain Controller und

primaryGroupId=521

für ReadOnly Domain Controller. Viel einfacher geht es wohl nicht ;).

Schreibe einen Kommentar