PowerShell este din ce în ce mai mult instrumentul ales pentru administratorii Windows. Modulul Active Directory PowerShell include mai mult de 450 cmdleturi pe care le puteți utiliza pentru a colecta informații despre fiecare obiect din Active Directory, pentru a verifica starea controlorilor de domeniu, pentru a colecta informații GPO și multe altele.
acest articol detaliază modul în care puteți utiliza PowerShell pentru a găsi conturi de utilizator și computer dezactivate și inactive în domeniile Active Directory.
cerințe preliminare
Pentru a utiliza scripturile furnizate aici, trebuie să:
- instalați modulul Active Directory PowerShell pe mașina în care veți executa scriptul. Acel computer trebuie să execute Windows Server 2012 sau o versiune ulterioară.
- deschideți fereastra PowerShell într-un mod ridicat.
- rulați scriptul folosind acreditări care au permisiunea de a accesa toate domeniile Active Directory în care colectați date.
verificarea unui singur domeniu
dacă trebuie să verificați dacă un anumit cont de utilizator sau computer este dezactivat sau inactiv, puteți face acest lucru manual utilizând snap-in-ul Active Directory Users and Computers (sau ADUC). Cu toate acestea, dacă trebuie să identificați conturi dezactivate și inactive într-un domeniu, cel mai bine este să automatizați sarcina folosind PowerShell.
de exemplu, pentru a colecta conturi de computer dezactivate, puteți utiliza cmdletul Get-ADComputer pentru a căuta conturi de computer care au proprietatea activată setată la $False, ceea ce indică faptul că contul este dezactivat:
Get-ADComputer -Filter {(Enabled -eq $False)} -ResultPageSize 2000 -ResultSetSize $null -Server <AnyDomainController> -Properties Name, OperatingSystem
aici sunt script-uri pentru sarcini conexe:
- verificați dacă un singur cont de utilizator este dezactivat
- obțineți o listă de utilizatori cu handicap
- Găsiți conturi de computer inactive
- Găsiți conturi de utilizator inactive
verificarea pe Mai multe domenii
dacă doriți să colectați informații din mai multe domenii Active Directory, aveți nevoie de un script PowerShell care să poată trece prin fiecare domeniu din Pădurea Active Directory și să stocheze datele colectate pentru fiecare domeniu dintr-un fișier CSV separat pentru echipa it responsabilă pentru acel domeniu.
înainte de a rula scriptul furnizat mai jos, asigurați-vă că:
- creați un director cu numele „C:\Temp” pe computerul local pentru a stoca fișierele CSV.
- înlocuiește „enterprise.com” în variabila $ CurForestName cu numele pădurii tale.
exemplu de script
$DomList = "C:\Temp\DomList.TXT"remove-item $DomList -ErrorAction SilentlyContinue$CurForestName="enterprise.com"$GetForest=Get-ADForest $CurForestName$Items = $R.DomainsForEach ($Domains in $Items){ Add-Content $DomList $Domain.Name}Write-Host "Starting Script..."ForEach ($DomInFile in $DomList){ $DisabledCompsCSV = "C:\Temp\DisabledAccounts_Computers_"+$DomInFile+".CSV" Remove-item $DisabledCompsCSV -ErrorAction SilentlyContinue $DisabledUsersCSV = "C:\Temp\DisabledAccounts_Users_"+$DomInFile+".CSV" Remove-item $DisabledUsersCSV -ErrorAction SilentlyContinue $InActiveUsersReport = "C:\Temp\InactiveUsers_"+$DomInFile+".CSV" Remove-item $InActiveUsersReport -ErrorAction SilentlyContinue Get-ADComputer -Server $DomInFile –Filter {(Enabled –eq $False)} –ResultPageSize 2000 –ResultSetSize $null -Properties Name, OperatingSystem | Export-CSV $DisabledCompsCSV -NoTypeInformation Search-ADAccount -Server $DomInFile –AccountDisabled –UsersOnly –ResultPageSize 2000 –ResultSetSize $null | Select-Object SamAccountName, DistinguishedName | Export-CSV $DisabledUsersCSV –NoTypeInformation Search-ADAccount -Server $DomInFile –AccountInActive –TimeSpan 90:00:00:00 –ResultPageSize 2000 –ResultSetSize $null | ?{$_.Enabled –eq $True} | Select-Object Name, SamAccountName, DistinguishedName | Export-CSV $InActiveUsersReport –NoTypeInformation}Write-Host "Script Finished collecting required information. Please check report files under C:\Temp folder"
partajarea rapoartelor
odată ce rapoartele CSV sunt generate, puteți trimite fișierul corespunzător fiecărei echipe IT prin e-mail. Alternativ, puteți încorpora cmdletul Send-MailMessage în script, astfel încât scriptul să trimită automat aceste e-mailuri. Vom discuta acest cmdlet într-un articol viitor din această serie.
cum Netwrix poate ajuta
deși utilizarea PowerShell este mult mai rapidă decât verificarea manuală a conturilor dezactivate și inactive, este nevoie de multă muncă pentru a crea, întreține și executa scripturi. Dacă sunteți o persoană ocupată, luați în considerare căutarea instrumentelor care automatizează munca și vă economisesc timp. De exemplu, înarmat cu Tracker utilizator inactiv gratuit, va fi capabil de a curăța rapid sau bloca toate conturile de utilizator vechi. Și o soluție robustă, cum ar fi Netwrix Auditor pentru Active Directory, vă va permite să raportați starea contului în doar câteva clicuri, precum și să automatizați auditul, să descoperiți punctele slabe de securitate și să eficientizați investigațiile incidentelor.