Zadovoljena pogosta naloga skrbnika Active Directory je ustvariti sezname onemogočenih ali neaktivnih računov in računalnikov ali sezname računov s potečenimi gesli. Če želite to narediti, lahko uporabite tako shranjene poizvedbe LDAP v konzoli ADUC kot že znane cmdlete PowerShell Get-ADUser, Get-ADObject ali Get-ADComputer, vendar lahko ustvarjanje pravega filtra za te ukaze povzroči nekaj težav. Na srečo ima modul PowerShell za ActiveDirectory bolj priročen cmdlet za izvajanje takšnih nalog. - Iskanje-RAČUN. Oglejmo si primere uporabe ukaznega naslova Search-ADAccount za običajna opravila..
Če želite, da poletni ukazi Search-ADAccount delujejo, morate imeti vsaj nameščen v računalniku PowerShell 3.0, Orodje za oddaljeno upravljanje strežnika (RSAT), v katero je treba vključiti komponento Modul aktivnega imenika za Windows PowerShell (Nadzorna plošča -> Programi-> Vklop in izklop funkcij sistema Windows> Orodja za oddaljeno upravljanje strežnika -> Orodja za upravljanje vlog -> Orodja DS DS in AD LDS).
Ta komponenta je lahko omogočena tudi z ukazom:
Add-WindowsFeature RSAT-AD-PowerShell
Zaženite konzolo PowerShell in uvozite modul Active Directory za PowerShell:
Uvozni modul ActiveDirectory
Naštejmo najzanimivejše tipke za cmdlet Search-ADAccount.
Search-ADAccount ključ | Opis |
-AccountDisabled
| Poiščite onemogočene račune |
-AccountExpired
| Potekli računi |
-AccountExpiring [-DateTime DateTime] [-TimeSpan TimeSpan]
| Računi, ki potečejo v določenem obdobju (-TimeSpan) ali na določen datum (-DateTime) |
-AccountInactive [-DateTime DateTime] [-TimeSpan TimeSpan]
| Računi, ki niso registrirani v domeni od določenega datuma (-DateTime) ali v določenem obdobju (-TimeSpan)
|
-Zaklenjen izklop | Računi, blokirani s politiko gesla |
-Passwordexpired | Računi, katerih geslo je poteklo |
-PasswordNeverExpires
| Računi z nastavljenim atributom PasswordNeverExpires |
Na primer, našteli bomo onemogočene račune v celotni domeni:
Search-ADAccount -UsersOnly -AccountDisabled
Obseg iskanja lahko omejite na določen vsebnik Active Directory (OU), kot je ta:
Search-ADAccount -UsersOnly -AccountDisabled -searchbase "OU = Administratorji, OU = Računi, DC = winitpro, DC = loc"
Iste podatke lahko z ukazom predstavimo v bolj priročni tabeli:
Search-ADAccount -UsersOnly -AccountDisabled -searchbase "OU = Administratorji, OU = Računi, DC = winitpro, DC = loc" | ft -AutoSize
Če morate dobiti seznam blokiranih uporabnikov, ki vsebuje le določene uporabniške atribute, in jih predstaviti v grafični tabeli z možnostjo razvrščanja, naredite:
Search-ADAccount -UsersOnly AccountDisabled | razvrsti LastLogonDate | Izberite Ime, LastLogonDate, DistinguishedName | out-gridview -title "Onemogočeni uporabniki"
Seznam blokiranih uporabniških računov:
Iskanje-ADAccount -UsersOnly -LockedOut
Seznam uporabniških računov neaktivnih 60 dni:
$ timespan = New-Timespan -dnevna 60
Search-ADAccount -UsersOnly -AccountInactive -TimeSpan $ časovni razpon
Za izračun števila takih računov:
Search-ADAccount -UsersOnly -AccountInactive -TimeSpan $ timepan | Izmerite
Seznam računalnikov, ki se v omrežju v zadnjih 90 dneh niso registrirali.
Iskanje -Računalnik -Računalnik -KnjižnikiSamo -TimeSpan 90
Ali od določenega datuma:
Search-ADAccount -AccountInactive -ComputersLoly -DateTime '1/1/2017' | Izberite Ime, LastLogonDate | ft
Za prenos podatkov v CSV uporabite naslednji ukaz:
Search-ADAccount -AccountDisabled -UsersSoly | Export-Csv "c: \ ps \ disabled_users.csv"