Active属性

Question

我试图用novell c# ldap库查找增量更改，并看到活动目录在每个对象中都有一个属性"whenChanged“，当对象最后更改时，该属性具有时间戳。我的问题是，当我从一个组中删除一个用户或从一个组织中删除一个组时，它似乎不会改变。

是否有办法在组和OU基础上查看这些更改(添加用户、删除用户、添加组、删除组)？

Answer 1

当对象上的任何其他属性发生变化时，whenChanged属性确实会发生变化。但要注意的是：

1. 如果从组中删除用户，则更改的是组，而不是用户。因此用户的whenChanged属性将不会被更新。
2. 域控制器之间没有复制whenChanged属性，因此域控制器之间的值将不匹配。不过，大多数时候他们会非常接近。

例如，假设您从一个组中删除了一个用户。这意味着组的member属性已经更改，因此whenChanged属性被更新。这些更新发生在一个域控制器上。因为member是一个复制属性，所以新的member值将被复制到域控制器，而这些DC上的whenChanged属性将被更新到复制发生的时间，这将与实际进行更改的DC上的whenChanged值不匹配。

如果您在修改成员资格后没有看到组上的whenChanged属性更改，那么您可能从一个不同于更改的DC中获得值，并且您还没有等待足够长的时间来进行复制。