Hallo,
[quote=“heide”]Um der Lizenz, gerade der neuen Strenge der 2.1er Version, nachzukommen, müssen alte, nicht mehr benutzte Accounts gelöscht werden, um neue aufnehmen zu können.
Gibt es eine Möglichkeit, sich z.B. “schnell mal eben” anzeigen zu lassen, welche Accounts (ob nun Rechner oder Person, in unserem Fall wären die Rechner wichtiger, da diese in UCS nicht gepflegt wurden) im UCS-System eingetragen sind, aber seit einer bestimmten Zeit nicht mehr benutzt werden? Konkret: Wird irgendwo eine Art “Last Login” für Windows-PC-Accounts vermerkt?[/quote]
Direkt werden dazu keine Informationen im LDAP-Verzeichnis gespeichert. Allerdings gibt es einige Möglichkeiten diesbezüglich Informationen zu ermitteln. Im Samba-Log kann bei einer Erhöhung des Log-Levels ermittelt werden, von welchen Rechnern Anmeldungen durchgeführt werden. Details zur Erhöhung des Log-Level für einzelne Komponenten von Samba können Sie in der man-Page zu smb.conf nachlesen. Durch Abgleich dieser Liste mit der Liste aller Windows-Rechner im LDAP-Verzeichnis sollte man die nicht genutzten Rechner ermitteln können.
Alternativ können Sie auch den Änderungszeitpunkt der LDAP-Objekte der Windows-Rechner betrachten. In der Regel ändern Windows-Rechner im Abstand von einigen Wochen ihr Passwort (es sei denn dies wurde explizit auf dem Client deaktiviert). Wird das Passwort des Rechnerkontos im LDAP-Verzeichnis geändert, wird dies in dem Attribut modifyTimestamp des LDAP-Objektes festgehalten. Eine Liste aller Windows.Rechner-Objekte sowie der zugehörigen Veränderungszeitpunkt können Sie wie folgt ermitteln:
ldapsearch -x objectClass=univentionWindows + dn | ldapsearch-wrapper | egrep '^(dn|modifyTimestamp):'
Sollte ein Rechner für mehrere Monate nicht eingeschaltet worden sein, kann dies an dem Attribut modifyTimestamp abgelesen werden. Zu beachten ist hier, dass dies nur zuverlässig für Rechner funktioniert, die längere Zeit (mehrere Monate) nicht genutzt worden sind und nur dann wenn die automatische Passwortänderung nicht deaktiviert wurde.
Mit freundlichen Grüßen
Andreas Büsching