Zadovoljan učestali zadatak koji administrator Active Directory mora obaviti je izrada popisa onemogućenih ili neaktivnih računa i računala ili popise računa s lozinkama kojima je isteklo vrijeme. Da biste to učinili, možete koristiti i spremljene LDAP upite u ADUC konzoli i već poznate PowerShell cmdlete Get-ADUser, Get-ADObject ili Get-ADComputer, međutim stvaranje odgovarajućeg filtra za ove naredbe može uzrokovati poteškoće. Srećom, PowerShell modul za ActiveDirectory ima prikladniji cmdlet za obavljanje takvih zadataka. - Traži-ADAccount. Pogledajmo primjere korištenja cmdleta Search-ADAccount za uobičajene zadatke..
Dakle, za rad ljetnih naredbi Search-ADAccount trebate imati najmanje instalirano na računalu PowerShell 3.0, Daljinski alat za upravljanje poslužiteljem (RSAT) u koju treba uključiti komponentu Modul aktivnog imenika za Windows PowerShell (Upravljačka ploča -> Programi -> Uključivanje i isključivanje značajki sustava Windows> Alati za daljinsko upravljanje poslužiteljima -> Alati za upravljanje ulogama -> AD DS i AD LDS Alati).
Ova se komponenta također može omogućiti naredbom:
Dodavanje-WindowsFeature RSAT-AD-PowerShell
Pokrenite PowerShell konzolu i uvezite Active Directory modul za PowerShell:
Uvozni modul ActiveDirectory
Navedimo najzanimljivije tipke za cmdlet Search-ADAccount.
| Ključ pretraživanja-ADAccount | opis |
| -AccountDisabled
| Potražite onemogućene račune |
| -AccountExpired
| Računi kojima je istekao rok trajanja |
| -AccountExpiring [-DateTime DateTime] [-TimeSpan TimeSpan]
| Računi koji istječu tijekom određenog razdoblja (-TimeSpan) ili određenog datuma (-DateTime) |
| -AccountInactive [-DateTime DateTime] [-TimeSpan TimeSpan]
| Računi koji nisu registrirani u domeni počevši od određenog datuma (-DateTime) ili unutar određenog vremenskog razdoblja (-TimeSpan)
|
| -LockedOut | Računi blokirani pravilima o zaporkama |
| -PasswordExpired | Računi čija je zaporka istekla |
| -PasswordNeverExpires
| Računi s postavljenim atributom PasswordNeverExpires |
Na primjer, popisat ćemo onemogućene račune u cijeloj domeni:
Search-ADAccount -UsersOnly -AccountDisabled
Opseg pretraživanja možete ograničiti na određeni spremnik Active Directory-a (OU) poput ovoga:
Search-ADAccount -UsersOnly -AccountDisabled -searchbase "OU = Administratori, OU = Računi, DC = winitpro, DC = loc"
Isti podaci mogu se prikazati u prikladnijem tabelarnom obliku pomoću naredbe:
Search-ADAccount -UsersOnly -AccountDisabled -searchbase "OU = Administratori, OU = Računi, DC = winitpro, DC = loc" | ft -AutoSize
Ili, ako trebate dobiti popis blokiranih korisnika koji sadrži samo određene korisničke atribute i predstaviti ih u grafičkoj tablici s mogućnošću sortiranja, učinite:
Search-ADAccount -UsersOnly AccountDisabled | sortiraj LastLogonDate | Odaberite Name, LastLogonDate, DistinguishedName | out-gridview -title "Onemogućeni korisnici"
Popis blokiranih korisničkih računa:
Traži-ADAccount -UsersOnly -LockedOut
Popis korisničkih računa neaktivan 60 dana:
$ timespan = New-Timespan -Dnevna 60
Search-ADAccount -UsersOnly -AccountInactive -TimeSpan $ timespan
Da biste izračunali broj takvih računa:
Search-ADAccount -UsersOnly -AccountInactive -TimeSpan $ timespan | mjera
Popis računala koja se nisu registrirala na mreži u posljednjih 90 dana.
Search-ADAccount -AccountInactive -ComputersOnly -TimeSpan 90
Ili od određenog datuma:
Search-ADAccount -AccountInactive -ComputersOnly -DateTime '1/1/2017' | Odaberite Name, LastLogonDate | ft
Za prijenos podataka u CSV koristite sljedeću naredbu:
Search-ADAccount -AccountDisabled -UsersOnly | Export-Csv "c: \ ps \ disabled_users.csv"
