Я хотел бы знать, можно ли и как узнать, может ли пользователь AD войти в систему в интерактивном режиме (на сервере) в Домен Windows.
Мне нужно знать, смогу ли я узнать это с помощью поиска LDAP.
Поиска LDAP недостаточно, поскольку возможность интерактивного входа в систему контролируется политикой безопасности на конечном компьютере.
Самой политикой («Разрешить интерактивный вход») можно управлять с помощью групповых политик в домене (что можно проверить с помощью RSOP, но не с помощью LDAP), но ее также можно настроить вручную на любом данном компьютере; кроме того, права на выполнение интерактивного входа в систему могут быть назначены пользователям или группам, что еще больше усложняет ситуацию.
Короче говоря, есть несколько настроек, определяющих, кому и где разрешено входить в систему; нет быстрого, простого и общего ответа на ваш вопрос; даже RSOP может здесь лишь немного помочь, потому что он может проверять только политики домена, а не локальные.
Это не поиск LDAP - ну, не напрямую - и здесь используются различные настройки.
Этот параметр контролируется либо GPO, либо локальной политикой безопасности.
См. МЕСТНУЮ ПОЛИТИКУ БЕЗОПАСНОСТИ => Местные политики
Далее это вступает в игру, 2.1.1 Интерактивная аутентификация при входе:
Пользователи могут выполнять интерактивный вход в систему, используя локальную учетную запись пользователя для локального входа в систему или учетную запись домена для входа в домен. Процесс интерактивного входа в систему подтверждает идентификацию пользователя с помощью базы данных учетных записей безопасности на локальном компьютере пользователя или с помощью службы каталогов домена. Этот обязательный процесс входа в систему нельзя отключить для пользователей в домене.
Строго через LDAP? Нет, это невозможно. Параметры групповой политики на сервере могут контролировать, может ли учетная запись войти в систему, и эти политики недоступны через LDAP.