Spokojený častý úkol, který musí správce služby Active Directory provést, je vytvoření seznamů zakázaných nebo neaktivních účtů a počítačů nebo seznamů účtů s vypršenou heslem. Chcete-li to provést, můžete použít jak uložené dotazy LDAP v konzole ADUC, tak již známé známé cmdlety PowerShell Get-ADUser, Get-ADObject nebo Get-ADComputer, vytvoření správného filtru pro tyto příkazy však může způsobit potíže. Naštěstí má modul PowerShell pro ActiveDirectory pohodlnější rutinu pro provádění takových úkolů. - Vyhledat-ADAccount. Zvažte příklady použití rutiny Search-ADAccount pro běžné úkoly..
Takže pro letní příkazy Search-ADAccount fungují, musíte mít na svém počítači alespoň nainstalovanou PowerShell 3.0, Sada pro správu vzdáleného serveru (RSAT), do které by měla být součást zahrnuta Modul Active Directory pro Windows PowerShell (Ovládací panel -> Programy -> Zapnutí a vypnutí funkcí systému Windows -> Nástroje pro správu vzdálené serverové -> Nástroje pro správu rolí -> Nástroje AD DS a AD LDS).
Tuto součást lze také povolit příkazem:
Add-WindowsFeature RSAT-AD-PowerShell
Spusťte konzolu PowerShell a importujte modul Active Directory pro PowerShell:
Import-Module ActiveDirectory
Seznamujme nejzajímavější klíče pro rutinu Search-ADAccount.
| Klíč vyhledávání a ADAccount | Popis |
| -Účet zakázán
| Vyhledejte deaktivované účty |
| -ÚčetExpired
| Platnost účtů vypršela |
| -AccountExpiring [-DateTime DateTime] [-TimeSpan TimeSpan]
| Účty, jejichž platnost vyprší během určitého období (-TimeSpan) nebo k určitému datu (-DateTime) |
| -AccountInactive [-DateTime DateTime] [-TimeSpan TimeSpan]
| Účty, které nejsou zaregistrovány v doméně počínaje určitým datem (-DateTime) nebo v určitém časovém období (-TimeSpan)
|
| -Uzamčeno | Účty jsou blokovány pomocí hesla |
| -Passwordexpired | Účty, jejichž heslo vypršelo |
| -PasswordNeverExpires
| Účty se sadou atributů PasswordNeverExpires |
Například vypíšeme deaktivované účty v celé doméně:
Hledání-ADAccount -UsersOnly -AccountDisabled
Rozsah vyhledávání můžete omezit na konkrétní kontejner služby Active Directory (OU), jako je tento:
Search-ADAccount --UsersOnly -AccountDisabled -searchbase "OU = Admins, OU = Accounts, DC = winitpro, DC = loc"
Stejná data mohou být prezentována ve vhodnější formě tabulky pomocí příkazu:
Search-ADAccount -UsersOnly -AccountDisabled -searchbase "OU = Admins, OU = Accounts, DC = winitpro, DC = loc" | ft -AutoSize
Nebo, pokud potřebujete získat seznam blokovaných uživatelů, který obsahuje pouze určité atributy uživatele a prezentovat je v grafické tabulce s možností řazení, proveďte následující kroky:
Search-ADAccount -UsersOnly AccountDisabled | řazení LastLogonDate | Vyberte jméno, LastLogonDate, DistinguishedName | out-gridview -title „Zakázaní uživatelé“
Seznam blokovaných uživatelských účtů:
Vyhledat-ADAccount -UsersOnly -LockedOut
Seznam uživatelských účtů neaktivní po dobu 60 dnů:
$ timespan = New-Timespan - 60 dní
Hledání-ADAccount -UsersOnly -AccountInactive -TimeSpan $ timespan
Pro výpočet počtu takových účtů:
Search-ADAccount -UsersOnly -AccountInactive -TimeSpan $ timespan | Měření
Seznam počítačů, které nebyly zaregistrovány v síti za posledních 90 dnů.
Search-ADAccount -AccountInactive-CompputersOnly -TimeSpan 90
Nebo od určitého data:
Search-ADAccount -AccountInactive -ComputersOnly -DateTime '1/1/2017' | Vyberte jméno, LastLogonDate | ft
Chcete-li nahrát data do CSV, použijte následující příkaz:
Search-ADAccount -AccountDisabled -UsersOnly | Exportovat-Csv "c: \ ps \ disabled_users.csv"
