Iščite zaklenjene, onemogočene in neaktivne predmete v AD-ju z uporabo Search-ADAccount

Zadovoljena pogosta naloga skrbnika Active Directory je ustvariti sezname onemogočenih ali neaktivnih računov in računalnikov ali sezname računov s potečenimi gesli. Če želite to narediti, lahko uporabite tako shranjene poizvedbe LDAP v konzoli ADUC kot že znane cmdlete PowerShell Get-ADUser, Get-ADObject ali Get-ADComputer, vendar lahko ustvarjanje pravega filtra za te ukaze povzroči nekaj težav. Na srečo ima modul PowerShell za ActiveDirectory bolj priročen cmdlet za izvajanje takšnih nalog. - Iskanje-RAČUN. Oglejmo si primere uporabe ukaznega naslova Search-ADAccount za običajna opravila..

Če želite, da poletni ukazi Search-ADAccount delujejo, morate imeti vsaj nameščen v računalniku PowerShell 3.0, Orodje za oddaljeno upravljanje strežnika (RSAT), v katero je treba vključiti komponento Modul aktivnega imenika za Windows PowerShell (Nadzorna plošča -> Programi-> Vklop in izklop funkcij sistema Windows> Orodja za oddaljeno upravljanje strežnika -> Orodja za upravljanje vlog -> Orodja DS DS in AD LDS).

Ta komponenta je lahko omogočena tudi z ukazom:

Add-WindowsFeature RSAT-AD-PowerShell

Zaženite konzolo PowerShell in uvozite modul Active Directory za PowerShell:

Uvozni modul ActiveDirectory

Naštejmo najzanimivejše tipke za cmdlet Search-ADAccount.

Search-ADAccount ključOpis
-AccountDisabled

Poiščite onemogočene račune
-AccountExpired

Potekli računi
-AccountExpiring [-DateTime DateTime] [-TimeSpan TimeSpan]

Računi, ki potečejo v določenem obdobju (-TimeSpan) ali na določen datum (-DateTime)
-AccountInactive [-DateTime DateTime] [-TimeSpan TimeSpan]

Računi, ki niso registrirani v domeni od določenega datuma (-DateTime) ali v določenem obdobju (-TimeSpan)

-Zaklenjen izklopRačuni, blokirani s politiko gesla
-PasswordexpiredRačuni, katerih geslo je poteklo
-PasswordNeverExpires

Računi z nastavljenim atributom PasswordNeverExpires
Opomba. Upoštevajte, da privzeto cmdlet Search-ADAccount išče uporabnike in računalnike hkrati. Če želite iskati samo uporabnike ali računalnike, morate uporabiti tipko ComputersOnly ali UsersOnly.

Na primer, našteli bomo onemogočene račune v celotni domeni:

Search-ADAccount -UsersOnly -AccountDisabled

Obseg iskanja lahko omejite na določen vsebnik Active Directory (OU), kot je ta:

Search-ADAccount -UsersOnly -AccountDisabled -searchbase "OU = Administratorji, OU = Računi, DC = winitpro, DC = loc"

Iste podatke lahko z ukazom predstavimo v bolj priročni tabeli:

Search-ADAccount -UsersOnly -AccountDisabled -searchbase "OU = Administratorji, OU = Računi, DC = winitpro, DC = loc" | ft -AutoSize

Če morate dobiti seznam blokiranih uporabnikov, ki vsebuje le določene uporabniške atribute, in jih predstaviti v grafični tabeli z možnostjo razvrščanja, naredite:

Search-ADAccount -UsersOnly AccountDisabled | razvrsti LastLogonDate | Izberite Ime, LastLogonDate, DistinguishedName | out-gridview -title "Onemogočeni uporabniki"

Seznam blokiranih uporabniških računov:

Iskanje-ADAccount -UsersOnly -LockedOut

Seznam uporabniških računov neaktivnih 60 dni:

$ timespan = New-Timespan -dnevna 60
Search-ADAccount -UsersOnly -AccountInactive -TimeSpan $ časovni razpon

Za izračun števila takih računov:

Search-ADAccount -UsersOnly -AccountInactive -TimeSpan $ timepan | Izmerite

Seznam računalnikov, ki se v omrežju v zadnjih 90 dneh niso registrirali.

Iskanje -Računalnik -Računalnik -KnjižnikiSamo -TimeSpan 90

Ali od določenega datuma:

Search-ADAccount -AccountInactive -ComputersLoly -DateTime '1/1/2017' | Izberite Ime, LastLogonDate | ft

Za prenos podatkov v CSV uporabite naslednji ukaz:

Search-ADAccount -AccountDisabled -UsersSoly | Export-Csv "c: \ ps \ disabled_users.csv"