在Active Directory中查找电子邮件地址的上次更新日期/时间

Question

当我们的用户通过自定义C#应用程序在AD LDS中更改密码时，我们还允许他们更新他们的电子邮件地址。有没有办法检测电子邮件地址更新的日期/时间？或者我们只需要使用LastPasswordSet值？我们需要将其与AS/400中的电子邮件进行比较，并根据哪个地址是最近的地址进行同步。

Answer 1

您可以通过从active directory windows服务器查看Windows Security Log Event ID 642来获取有关帐户更改的所有历史记录。

(ref)

Answer 2

属性元数据将告诉您属性何时更改(https://docs.microsoft.com/en-us/dotnet/api/system.directoryservices.activedirectory.attributemetadata?redirectedfrom=MSDN&view=netframework-4.7.2)。

我不知道任何过滤元数据的方法，但我通常会过滤whenChanged时间戳(在您的情况下是密码更新时间戳)，以获得一组潜在的更改，并使用我正在跟踪的属性的元数据过滤掉不相关的对象。

// Grab all accounts updated since last batch cycle
// For each user, check LastOriginatingChangeTime of interesting attribute
// If LastOriginatingChangeTime >= last cycle, check value in target system
// If value in target system != value in AD, update target system with value from AD