Освойте всю мощь командлета PowerShell Search-ADAccount
Не многие администраторы Active Directory знают, что командлет Search-ADAccount PowerShell может выполнять ряд удобных операций Active Directory, таких как сбор списка отключенных учетных записей Active Directory, сбор списка неактивных учетных записей Active Directory, сбор списка учетных записей с истекшим сроком действия и скоро. В этой статье мы расскажем о различных параметрах, поддерживаемых командлетом PowerShell Search-ADAccount, и приведем несколько примеров использования этих параметров.
Microsoft предоставляет командлеты PowerShell для управления операциями Active Directory. С помощью этих командлетов можно управлять почти всеми аспектами Active Directory. Модули Active Directory PowerShell можно установить из диспетчера серверов на контроллерах домена, рядовых серверах и клиентских компьютерах. Не рекомендуется выполнять тяжелые операции PowerShell с контроллера домена. Вместо этого используйте Windows Server или клиент, присоединенный к домену Active Directory.
Search-ADAccount и поддерживаемые параметры
Search-ADAccount поддерживает несколько параметров для сбора необходимых сведений. Традиционно вам приходилось разрабатывать сценарий, который будет подключаться к контексту Active Directory, а затем искать необходимые сведения, проверяя различные атрибуты Active Directory. Используя предопределенные параметры с командлетом PowerShell Search-ADAccount, администраторы Active Directory могут легко собрать необходимые сведения. Параметры, поддерживаемые командлетом Search-ADAccount, перечислены в таблице ниже.
| Параметр | Описание |
| -AccountExpiring | Параметр -AccountExpiring можно использовать для возврата учетных записей, срок действия которых истекает в Active Directory. Вам необходимо указать значение для параметра TimeSpan в команде. |
| -AccountExpired | Параметр -AccountExpired можно использовать, если вы хотите получить учетные записи, срок действия которых истек в домене Active Directory. |
| -Учетная запись отключена | Как следует из названия, используйте параметр –AccountDisabled, если вам нужно получить список учетных записей, отключенных в домене Active Directory. –AccountDisabled поддерживает два переключателя; Только компьютеры и только пользователи. Если вы хотите получить список отключенных учетных записей компьютеров, вы будете использовать «-ComputersOnly», а для получения только отключенных учетных записей пользователей используйте «-UsersOnly». |
| -Аккаунт не активен | -AccountInactive используется в случае, если вам нужно получить учетные записи, которые неактивны в Active Directory. Все, что вам нужно сделать, это указать значение временного интервала. |
| -Заблокировано | Вы хотели бы использовать параметр –LockedOut, если вам нужно получить список учетных записей, которые были заблокированы. |
| -PasswordExpired | Параметр -PasswordExpired можно использовать, если вам нужно получить список учетных записей пользователей, срок действия пароля которых истек. |
| -Пароль никогда не истекает | В соответствии со стандартными методами обеспечения безопасности все пользователи организации должны изменить свой пароль в соответствии с политиками паролей, настроенными в Active Directory. Если вам нужно получить список учетных записей пользователей, срок действия пароля которых никогда не истекает, вы будете использовать параметр –PasswordNeverExpires. Обычно учетные записи служб и учетные записи пользователей, которые используются приложениями, имеют неограниченный срок действия. |
Давайте перейдем к нескольким примерам, в которых используются предопределенные параметры с Search-ADAccount.
Сбор сведений об истечении срока действия учетных записей
При создании учетных записей пользователей в Active Directory вы можете установить срок действия для этих учетных записей. По истечении срока пользователь больше не может войти в систему на ПК, присоединенном к домену Active Directory. Как правило, настройка срока действия учетной записи используется для учетных записей подрядчиков и третьих лиц. Если вы хотите получить список учетных записей пользователей, срок действия которых истекает, вы можете выполнить приведенный ниже командлет PowerShell:
Search-ADAccount –AccountExpiring –TimeSpan 10.00:00:00 | Format-Table Name, ObjectClass –A | Export-CSV C:TempAccountExpiry.CSV -NoTypeInfo
Как видно из приведенной выше команды, Search-ADAccount собирает все учетные записи пользователей, срок действия которых истекает через 10 дней. Все, что вам нужно сделать, это указать значение для параметра «-TimeSpan». Результат сохраняется в файле C:TempAccountExpiry.CSV.
Сбор просроченных учетных записей пользователей
В то время как приведенная выше команда собирает учетные записи, срок действия которых истекает, следующая команда собирает учетные записи пользователей, срок действия которых уже истек. Необходимо собрать учетные записи с истекшим сроком действия и переместить их в непроизводственное организационное подразделение или удалить их, если учетные записи с истекшим сроком действия больше не нужны.
Search-ADAccount –AccountExpired | Format-Table Name, ObjectClass –A | Export-CSV C:TempAccountsExpired.CSV -NoTypeInfo
Приведенная выше команда сохраняет выходные данные в файле C:TempAccountsExpired.CSV, который содержит имя учетной записи пользователя и объектный класс, такой как пользователь или компьютер.
Сбор отключенных учетных записей пользователей или компьютеров
Active Directory помечает учетную запись как отключенную, когда для свойства ADAccount Enabled установлено значение «False». Вы можете собирать отключенные учетные записи пользователей или компьютеров из Active Directory с помощью параметра «-AccountDisabled» в командлете Search-ADAccount. Параметр «-AccountDisabled» поддерживает два переключателя: ComputersOnly и UsersOnly. Примеры для обоих переключателей показаны ниже:
Чтобы получить все отключенные учетные записи, включая компьютеры и пользователей, выполните эту команду PowerShell:
Search-ADAccount –AccountDisabled | Format-Table Name, ObjectClass –A | Export-CSV C:TempAllAccountsDisabled.CSV
И чтобы получить только отключенные учетные записи пользователей, выполните эту команду:
Search-ADAccount –AccountDisabled –UsersOnly | Format-Table Name, ObjectClass –A | Export-CSV C:TempDisabledUsers.CSV
Наконец, чтобы получить только отключенные учетные записи компьютеров, выполните следующую команду:
Search-ADAccount –AccountDisabled –ComputersOnly | Format-Table Name, ObjectClass –A | Export-CSV C:TempDisabledComputers.CSV
Как только вы освоите возможности командлета Search-ADAccount, используя приведенные выше примеры, вы сможете сэкономить много времени и усилий и немного облегчить свою работу.