Powershellissa on yhä useammin Windowsin järjestelmänvalvojien valinta. Active Directoryn PowerShell-moduuli sisältää yli 450 cmdletiä, joiden avulla voit kerätä tietoja jokaisesta Active Directoryn objektista, tarkistaa toimialueen ohjaimien kunnon, kerätä GPO-tietoja ja paljon muuta.
tässä artikkelissa kerrotaan, miten voit käyttää Powershellia löytääksesi käytöstä poistettuja ja passiivisia käyttäjä-ja tietokonetilejä Active Directory-toimialueiltasi.
Edeltävät opinnot
käyttääksesi tässä annettuja skriptejä, sinun on:
- Asenna Active Directory PowerShell-moduuli koneeseen, jossa suoritat komentosarjan. Tietokoneessa on oltava Windows Server 2012 tai uudempi.
- avaa PowerShell-ikkuna korotetussa tilassa.
- Suorita skripti käyttäen tunnistetietoja, joilla on oikeus käyttää kaikkia Active Directory-alueita, joista keräämme tietoja.
yhden toimialueen tarkistaminen
jos haluat tarkistaa, onko tietty käyttäjä-tai tietokonetili poissa käytöstä tai ei ole aktiivinen, voit tehdä sen manuaalisesti Active Directory Users and Computers (tai ADUC) – laajennuksen avulla. Jos sinun täytyy tunnistaa Käytöstä poistetut ja passiiviset tilit toimialueen eri osissa, on kuitenkin parasta automatisoida tehtävä Powershellilla.
esimerkiksi käytöstä poistettujen tietokonetilien keräämiseen voit käyttää Get-ADComputer cmdlet-ohjelmaa etsiäksesi tietokonetilejä, joiden käytössä oleva ominaisuus on asetettu arvoon $False, mikä osoittaa, että tili on poistettu käytöstä:
Get-ADComputer -Filter {(Enabled -eq $False)} -ResultPageSize 2000 -ResultSetSize $null -Server <AnyDomainController> -Properties Name, OperatingSystem
tässä on skriptejä liitännäisiin tehtäviin:
- tarkista, onko yksittäinen käyttäjätili poissa käytöstä
- Hanki luettelo vammaisista käyttäjistä
- Etsi passiiviset käyttäjätilit
- Etsi passiiviset käyttäjätilit
tarkistamalla useita verkkotunnuksia
jos haluat kerätä tietoja useilta Active Directory-toimialueilta, tarvitset PowerShell-komentosarjan, joka voi loopata jokaisen toimialueesi Active Directory-metsässä ja tallentaa kerätyt tiedot kunkin verkkotunnuksen osalta erillisessä CSV-tiedostossa kyseisestä verkkotunnuksesta vastaavalle it-ryhmälle.
ennen kuin suoritat alla olevan käsikirjoituksen, varmista, että:
- Luo hakemisto nimellä ”C:\Temp” paikalliseen tietokoneeseen tallentaa CSV-tiedostoja.
- korvaa ”enterprise.com” $CurForestName-muuttujassa, jossa on metsäsi nimi.
Sample script
$DomList = "C:\Temp\DomList.TXT"remove-item $DomList -ErrorAction SilentlyContinue$CurForestName="enterprise.com"$GetForest=Get-ADForest $CurForestName$Items = $R.DomainsForEach ($Domains in $Items){ Add-Content $DomList $Domain.Name}Write-Host "Starting Script..."ForEach ($DomInFile in $DomList){ $DisabledCompsCSV = "C:\Temp\DisabledAccounts_Computers_"+$DomInFile+".CSV" Remove-item $DisabledCompsCSV -ErrorAction SilentlyContinue $DisabledUsersCSV = "C:\Temp\DisabledAccounts_Users_"+$DomInFile+".CSV" Remove-item $DisabledUsersCSV -ErrorAction SilentlyContinue $InActiveUsersReport = "C:\Temp\InactiveUsers_"+$DomInFile+".CSV" Remove-item $InActiveUsersReport -ErrorAction SilentlyContinue Get-ADComputer -Server $DomInFile –Filter {(Enabled –eq $False)} –ResultPageSize 2000 –ResultSetSize $null -Properties Name, OperatingSystem | Export-CSV $DisabledCompsCSV -NoTypeInformation Search-ADAccount -Server $DomInFile –AccountDisabled –UsersOnly –ResultPageSize 2000 –ResultSetSize $null | Select-Object SamAccountName, DistinguishedName | Export-CSV $DisabledUsersCSV –NoTypeInformation Search-ADAccount -Server $DomInFile –AccountInActive –TimeSpan 90:00:00:00 –ResultPageSize 2000 –ResultSetSize $null | ?{$_.Enabled –eq $True} | Select-Object Name, SamAccountName, DistinguishedName | Export-CSV $InActiveUsersReport –NoTypeInformation}Write-Host "Script Finished collecting required information. Please check report files under C:\Temp folder"
Sharing the reports
kun CSV-raportit on luotu, voit lähettää sopivan tiedoston jokaiselle IT-tiimille sähköpostitse. Vaihtoehtoisesti, voit upottaa Send-MailMessage cmdlet script niin script lähettää nämä sähköpostit automaattisesti. Keskustelemme tästä cmdlet tulevassa artikkelissa tässä sarjassa.
miten Netwrix voi auttaa
vaikka PowerShellin käyttäminen on paljon nopeampaa kuin käytöstä poistettujen ja passiivisten tilien tarkistaminen manuaalisesti, skriptien luominen, ylläpito ja suorittaminen vaatii silti paljon työtä. Jos olet kiireinen ihminen, harkitse työkaluja, jotka automatisoivat työtä ja säästävät aikaa. Esimerkiksi, aseistettu ilmainen passiivinen käyttäjä Tracker, voit nopeasti puhdistaa tai lukita kaikki tunkkainen käyttäjätilit. Ja vahva ratkaisu, kuten NetWrix Auditor Active Directorylle, valtuuttaa sinut raportoimaan tilin tilasta vain muutamalla klikkauksella sekä automatisoimaan auditointia, löytämään tietoturvan heikkoja kohtia ja virtaviivaistamaan tapahtumatutkimuksia.
