게시판 본문 Active Directory Service Interface - Read Only
re: AD 사용환경에서 login time 과 log out time 관리 방법은요? |
---|
작성자: 정토
작성일시: 2008-01-28 00:52,
조회수: 3,765
|
우연히 블로깅 중에 질문을 보고 제 관련분야라 답변을 드립니다.
물론, 님께서 요구하는 정보를 AD 스키마의 속성은 가지고 있습니다. 바로 이 두가지 User object 의 속성이 바로 그것입니다. lastLogoff (Non-replicated) lastLogon (Non-replicated) 두가지 모두 가장 마지막(최근) 로그온/오프를 할때 각 서버에 입력되는 값입니다. 간단히 이를 얻어오시기 위해서는 ADSI를 이용하는 VBScipt는 이렇게 하시면 됩니다. set objOU = GetObject("LDAP://도메인명" ) For Each objUser In objOU Set objLastLogon = objUser.Get("lastLogon") intLastLogonTime = objLastLogon.HighPart * (2^32) + objLastLogon.LowPart intLastLogonTime = intLastLogonTime / (60 * 10000000) intLastLogonTime = intLastLogonTime / 1440 Wscript.Echo objUser.givenName & " 's last logon time: " & intLastLogonTime + #1/1/1601# Next 뭐 이 정도가 될꺼 같습니다. 주의하실 점은 저장된 값이 large integer것이여서 ActiveDS.dll COM library의 LargeInteger interface를 사용하여 64비트에서 high와 low 파트를 얻을 수 있습니다. 이 값은 보통 흔히 사용하는 FileTime 값의 형식과 동일하며 .NET을 이용한다면 .NET DateTime 객체를 이용하여 변환할 수 있습니다. C#을 사용한다면 다음과 같은 방법을 사용하시면 됩니다. (앞의 objUser라는 사용자 인스턴스 얻는부분은 생략) LargeInteger largeInt = (LargeInteger)objUser.Properties["lastLogon"][0]; Int64 logonTick = largeInt.HighPart * 0x100000000 + largeInt.LowPart; if(DateTime.MaxValue.Ticks >= logonTick && DateTime.MinValue.Ticks <= logonTick) { DateTime dTemp = DateTime.FromFileTime(logonTick); } 그러나, 중요한점은 불행하게도 정상적으로 로그오프하지 않는다면 이 값 역시 업데이트 되지 않으며 또한 여러 대의 DC가 존재할때 이 값은 기본적으로 복제되는 속성이 아닙니다. 즉 개발자 분들이 이 정보를 취합하기가 힘들다는 겁니다. 즉 보통 기업환경에서 AD를 사용하여 AAA서비스를 구현하신다면 매우 중요한 인프라 서비스가 되기때문에 충분한 가용성을 고려하여 Deploy되기때문에 여러대의 DC가 있다고 생각해야 합니다. 각 사용자들은 라운드 로빈 방식으로 서버를 선택하여 인증을 진행하기 때문에 이 정보는 로그인 이후에 프로필 정보에 기억되고 이후 사용자의 로그오프를 하는 경우에 이 정보는 해당 DC에만 업데이트 됩니다. 개발자 입장에서는 이러한 환경에서는 리스트를 뿌리고 싶다면 n개의 DC를 모두 연결하여 보다 최근인 접속기록을 가지고 있는 DC를 비교해야 하기때문에 조금 번잡하기도 하고 깔끔하지 않는 면도 있습니다. 어찌되었든 여기에 대한 기술적인 솔루션 측면은 여러가지 존재할 수 있을겁니다. 다만 이 비지니스 로직에서 요구하는 욕심만큼의 리포트를 얻기위해서는 좀더 강력한 CIO레벨이나 경영진의 Support가 없이는 진행이 불가능한 경우가 많습니다. 즉 쉽게 생각하면 김과장은 특별한 일이 없다면 컴퓨터를 끄지 않고 다니는 사람이고, 박대리는 성격이 급해서 그냥 파워버튼을 눌러서 컴퓨터를 꺼버리는 친구라고 가정한다면, 이런 사람들의 정보는 정상적으로 업데이트가 불가능 하다고 생각하시면 됩니다. ^^; 중앙에서 개인적인 컴퓨팅 스타일까지 제어하는건 상당한 어려움이 있다고 생각하시면 됩니다. ^^; 원하시는 만큼의 답변이 되셨는지 모르겠습니다. by IAM 컨설턴트, MCT 김호범 (trueccie@hotmail.com) |
IP 주소: 125.129.199.102
|
전체 1 건의 댓글이 존재합니다.
송원석 |
이렇게 좋은 정보를 말씀해주셔서 대단히 감사드립니다. ^_^
|
2008-01-28 08:56 |
전체 421 건의 게시물,
17 페이지로 구성된
Active Directory Service Interface 게시판의
4 페이지입니다.
게시물 | ||||
---|---|---|---|---|
356 | 2008-06-02 | 5,625 | ||
355 | 2008-06-03 | 3,087 | ||
354 | 2008-04-30 | 3,225 | ||
353 | 2008-04-30 | 3,240 | ||
352 | 2008-02-14 | 3,062 | ||
351 | 2008-02-14 | 3,120 | ||
350 | 2008-01-23 | 3,082 | ||
349 | 2008-01-24 | 2,979 | ||
2008-01-28 | 3,765 | |||
347 |
허욱 |
2007-12-24 | 718 | |
346 | 2007-12-24 | 3,182 | ||
345 |
허욱 |
2007-12-20 | 680 | |
344 | 2007-12-21 | 3,136 | ||
343 |
허욱 |
2007-12-21 | 695 | |
342 |
허욱 |
2007-12-18 | 803 | |
341 | 2007-12-19 | 3,104 | ||
340 |
허욱 |
2007-12-19 | 749 | |
339 |
허욱 |
2007-12-19 | 720 | |
338 |
re: 아..이런.. [1] |
2007-12-19 | 3,137 | |
337 | 2007-11-06 | 3,364 | ||
336 | 2007-11-07 | 3,300 | ||
335 | 2007-11-07 | 3,342 | ||
334 | 2007-11-07 | 3,329 | ||
333 | 2007-11-07 | 3,458 | ||
332 | 2007-11-08 | 3,266 |