Spokojnou častou úlohou, ktorú musí vykonať správca služby Active Directory, je vytvorenie zoznamov zakázaných alebo neaktívnych účtov a počítačov alebo zoznamov účtov s vypršanými heslami. Na tento účel môžete použiť uložené LDAP dotazy v konzole ADUC a už známe rutiny cmdlet PowerShell Get-ADUser, Get-ADObject alebo Get-ADComputer, vytvorenie správneho filtra pre tieto príkazy však môže spôsobiť určité problémy. Našťastie má modul PowerShell pre ActiveDirectory pohodlnejšie rutiny cmdlet na vykonávanie takýchto úloh. - Search-ADAccount. Pozrime sa na príklady použitia rutiny Search-ADAccount pre bežné úlohy..
Preto, aby mohli letné príkazy Search-ADAccount fungovať, musíte mať na svojom počítači aspoň nainštalované PowerShell 3.0, Sada pre správu vzdialených serverov (RSAT), do ktorej by mal byť komponent zahrnutý Modul Active Directory pre Windows PowerShell (Ovládací panel -> Programy-> Zapnutie a vypnutie funkcií systému Windows-> Nástroje na správu vzdialenej servera -> Nástroje na správu rolí -> Nástroje AD DS a AD LDS).
Túto súčasť je možné povoliť aj príkazom:
Add-WindowsFeature RSAT-AD-PowerShell
Spustite konzolu PowerShell a importujte modul Active Directory pre PowerShell:
Importovaný modul ActiveDirectory
Uvádzame zoznam najzaujímavejších kľúčov pre rutinu Search-ADAccount.
| Kľúč vyhľadávania a ADúčtu | popis |
| -AccountDisabled
| Vyhľadajte deaktivované účty |
| -AccountExpired
| Platnosť účtov vypršala |
| -AccountExpiring [-DateTime DateTime] [-TimeSpan TimeSpan]
| Účty, ktorých platnosť vyprší počas určitého obdobia (-TimeSpan) alebo k určitému dátumu (-DateTime) |
| -AccountInactive [-DateTime DateTime] [-TimeSpan TimeSpan]
| Účty, ktoré nie sú registrované v doméne od určitého dátumu (-DateTime) alebo do určitého časového obdobia (-TimeSpan)
|
| -LockedOut | Účty blokované zásadami pre heslá |
| -PasswordExpired | Účty, ktorých heslo už vypršalo |
| -PasswordNeverExpires
| Účty so sadou atribútov PasswordNeverExpires |
Uvádzame napríklad zoznam zakázaných účtov v celej doméne:
Search-ADAccount -UsersOnly -AccountDisabled
Rozsah vyhľadávania môžete obmedziť na konkrétny kontajner služby Active Directory (OU), ako je tento:
Search-ADAccount -UsersOnly -AccountDisabled -searchbase "OU = Správcovia, OU = Účty, DC = winitpro, DC = loc"
Rovnaké údaje môžu byť prezentované vo výhodnejšej tabuľkovej forme pomocou príkazu:
Search-ADAccount -UsersOnly -AccountDisabled -searchbase "OU = Správcovia, OU = Účty, DC = winitpro, DC = loc" | ft -AutoSize
Alebo, ak potrebujete získať zoznam blokovaných používateľov, ktorý obsahuje iba určité atribúty používateľa a prezentovať ich v grafickej tabuľke s možnosťou triedenia, postupujte takto:
Search-ADAccount -UsersOnly AccountDisabled | zoradiť LastLogonDate | Vyberte Meno, LastLogonDate, Rozlišujúce meno | out-gridview -title „Zakázaní používatelia“
Zoznam blokovaných používateľských účtov:
Vyhľadávanie-ADAccount -UsersOnly -LockedOut
Zoznam používateľských účtov neaktívnych 60 dní:
$ timespan = New-Timespan - Dni 60
Search-ADAccount -UsersOnly -AccountInactive -TimeSpan $ timespan
Na výpočet počtu takýchto účtov:
Search-ADAccount -UsersOnly -AccountInactive -TimeSpan $ timespan | opatrenia
Zoznam počítačov, ktoré sa nezaregistrovali v sieti za posledných 90 dní.
Search-ADAccount -AccountInactive-CompputersOnly -TimeSpan 90
Alebo od určitého dátumu:
Search-ADAccount -AccountInactive -ComputersOnly -DateTime '1/1/2017' | Vyberte meno, LastLogonDate | ft
Ak chcete nahrať údaje do súboru CSV, použite nasledujúci príkaz:
Search-ADAccount -AccountDisabled -UsersOnly | Exportovať-Csv "c: \ ps \ disabled_users.csv"
