er i stigende grad det valgte værktøj for administratorer. Active Directory-Modulet indeholder mere end 450 cmdlet ‘ er, som du kan bruge til at indsamle oplysninger om hvert objekt i Active Directory, kontrollere domænecontrollernes sundhed, indsamle GPO-oplysninger og mere.
denne artikel beskriver, hvordan du kan finde deaktiverede og inaktive bruger-og computerkonti i dine Active Directory-domæner.
forudsætninger
for at bruge de scripts, der er angivet her, skal du:
- installer Active Directory-modulet på den maskine, hvor du vil udføre scriptet. Computeren skal køre Server 2012 eller senere.
- Åbn vinduet i en forhøjet tilstand.
- Kør scriptet ved hjælp af legitimationsoplysninger, der har tilladelse til at få adgang til alle de Active Directory-domæner, hvor du indsamler data.
kontrol af et enkelt domæne
hvis du har brug for at kontrollere, om en bestemt bruger-eller computerkonto er deaktiveret eller inaktiv, kan du gøre det manuelt ved hjælp af snap-in ‘ en Active Directory Users and Computers (eller aduc). Hvis du har brug for at identificere deaktiverede og inaktive konti på tværs af et domæne, er det dog bedst at automatisere opgaven ved hjælp af
for eksempel at indsamle deaktiverede computerkonti kan du bruge Get-ADComputer cmdlet til at søge efter computerkonti, der har den aktiverede egenskab indstillet til $ False, hvilket indikerer, at kontoen er deaktiveret:
Get-ADComputer -Filter {(Enabled -eq $False)} -ResultPageSize 2000 -ResultSetSize $null -Server <AnyDomainController> -Properties Name, OperatingSystem
her er scripts til relaterede opgaver:
- Kontroller, om en enkelt brugerkonto er deaktiveret
- få en liste over handicappede brugere
- Find inaktive computerkonti
- Find inaktive brugerkonti
kontrol på tværs af flere domæner
hvis du vil indsamle oplysninger fra flere Active Directory-domæner, skal du bruge et script, der kan løbe gennem hvert domæne i din Active Directory-skov og gemme de indsamlede data for hvert domæne i en separat CSV-fil for det IT-team, der er ansvarligt for dette domæne.
før du kører scriptet nedenfor, skal du sørge for at:
- Opret en mappe med navnet “C:\Temp” på den lokale computer til at gemme CSV-filer.
- Erstat “enterprise.com” i $ CurForestName-variablen med navnet på din skov.
Sample script
$DomList = "C:\Temp\DomList.TXT"remove-item $DomList -ErrorAction SilentlyContinue$CurForestName="enterprise.com"$GetForest=Get-ADForest $CurForestName$Items = $R.DomainsForEach ($Domains in $Items){ Add-Content $DomList $Domain.Name}Write-Host "Starting Script..."ForEach ($DomInFile in $DomList){ $DisabledCompsCSV = "C:\Temp\DisabledAccounts_Computers_"+$DomInFile+".CSV" Remove-item $DisabledCompsCSV -ErrorAction SilentlyContinue $DisabledUsersCSV = "C:\Temp\DisabledAccounts_Users_"+$DomInFile+".CSV" Remove-item $DisabledUsersCSV -ErrorAction SilentlyContinue $InActiveUsersReport = "C:\Temp\InactiveUsers_"+$DomInFile+".CSV" Remove-item $InActiveUsersReport -ErrorAction SilentlyContinue Get-ADComputer -Server $DomInFile –Filter {(Enabled –eq $False)} –ResultPageSize 2000 –ResultSetSize $null -Properties Name, OperatingSystem | Export-CSV $DisabledCompsCSV -NoTypeInformation Search-ADAccount -Server $DomInFile –AccountDisabled –UsersOnly –ResultPageSize 2000 –ResultSetSize $null | Select-Object SamAccountName, DistinguishedName | Export-CSV $DisabledUsersCSV –NoTypeInformation Search-ADAccount -Server $DomInFile –AccountInActive –TimeSpan 90:00:00:00 –ResultPageSize 2000 –ResultSetSize $null | ?{$_.Enabled –eq $True} | Select-Object Name, SamAccountName, DistinguishedName | Export-CSV $InActiveUsersReport –NoTypeInformation}Write-Host "Script Finished collecting required information. Please check report files under C:\Temp folder"
deling af rapporterne
når CSV-rapporterne er genereret, kan du sende den relevante fil til hvert IT-team via e-mail. Alternativt kan du integrere Send-MailMessage cmdlet i scriptet, så scriptet sender disse e-mails automatisk. Vi vil diskutere denne cmdlet i en kommende artikel i denne serie.
Hvordan kan det hjælpe
selvom det er meget hurtigere at kontrollere for deaktiverede og inaktive konti manuelt, kræver det stadig meget arbejde at oprette, vedligeholde og udføre scripts. Hvis du er en travl person, kan du overveje at undersøge værktøjer, der automatiserer arbejdet og sparer dig tid. For eksempel, bevæbnet med den gratis inaktive bruger Tracker, vil du være i stand til hurtigt at rense ud eller låse ned alle dine uaktuelle brugerkonti. Og en robust løsning som Active Directory giver dig mulighed for at rapportere om kontostatus med få klik, samt at automatisere revision, opdage sikkerheds svage punkter og strømline hændelsesundersøgelser.
