Назад | Перейти на главную страницу

Поиск заблокированных пользователей

Сеть Active Directory до 2008 года (наши серверы представляют собой смесь 2008, 2003 ...)

Я ищу быстрый способ запросить AD, чтобы узнать, какие пользователи заблокированы, желательно из пакетного файла или файла сценария, для отслеживания возможных проблем с учетными записями пользователей, атакованными автоматической атакой, или просто аномалиями в сети.

Я погуглил, и мой гугл-фу не удалось; Я нашел запрос в собственной базе знаний Microsoft, в котором приводится строка для использования в Server 2003 с сохраненными запросами оснастки управления (http://support.microsoft.com/kb/555131), но когда я ввел его, запрос вернул 400 пользователей, у которых, как показала выборочная проверка, НЕТ отметки в поле «Учетная запись заблокирована» в разделе «Учетная запись». На самом деле, я не вижу ничего плохого в их аккаунтах.

Есть ли простая утилита (wisesoft bulkadusers, по-видимому, использует этот метод за кулисами, так как результаты также были неправильными), которая будет давать количество пользователей и, возможно, их имена объектов пользователей? Сценарий? Что-то?

Вы также можете сделать это без стороннего инструмента, используя модуль Active Directory, начиная с PowerShell v2 и если вы находитесь в домене 2008 года:

get-aduser -filter * -properties * | where {$_.lockedout} | ft name,lockedout

тогда, конечно, вы также можете добавить к нему экспортные каналы Майкла Б.

Вы можете использовать PowerShell и Инструменты квеста.

Вы можете просто запросить все пользовательские объекты AD следующим образом:

Get-QADUser -SizeLimit 0 | Where {$_.AccountIsLockedOut -eq "true"}

Если вы пойдете по этому пути, вы можете создать файлы ps1, запуск которых запланирован, и вы можете экспортировать их в CSV или даже на веб-сайт - используя ConvertTo-Html затем экспортируем его в файл HTML. Например:

Get-QADUser -SizeLimit 0 | Where {$_.AccountIsLockedOut -eq "true"} | Export-Csv c:\lockedoutusers.csv

или html:

Get-QADUser -SizeLimit 0 | Where {$_.AccountIsLockedOut -eq "true"} | CovertTo-Html > c:\lockedoutusers.html

Или, если хотите, вы можете просто добавить его в сетку для интерактивного просмотра:

Get-QADUser -SizeLimit 0 | Where {$_.AccountIsLockedOut -eq "true"} | Out-GridView

Я добился большого успеха, используя следующий «Сохраненный запрос» из оснастки AD.

(&(&(&(&(&(&(&(objectCategory=person)(objectClass=user)(lockoutTime:1.2.840.113556.1.4.804:=4294967295))))))))

Чтобы добавить этот запрос, откройте AD MMC, щелкните правой кнопкой мыши «Сохраненные запросы», выберите «Создать», «Запрос», затем нажмите «Определить запрос», в раскрывающемся списке выберите «Пользовательский поиск», а затем «Расширенный». . Скопируйте и вставьте приведенный выше запрос. Теперь вы должны иметь возможность разблокировать заблокированные виды использования прямо из только что созданного запроса.

Вы можете найти это и многое другое в этом technet wikipage.

Я настоятельно рекомендую Unlock by Joeware.

http://www.joeware.net/freetools/tools/unlock/index.htm

Эта команда покажет заблокированные учетные записи:

разблокировать. * -Посмотреть

И, удалив параметр -view, вы также можете разблокировать их (всех или одного пользователя за раз). Инструменты Джо для меня очень надежны и очень быстры.

В PowerShell: search-adaccount -lockedout | ft name, samaccountname

NB: требуется установка модуля PowerShell AD: http://blogs.msdn.com/b/rkramesh/archive/2012/01/17/how-to-add-active-directory-module-in-powershell-in-windows-7.aspx

Больше информации на search-adaccount Вот: http://blogs.technet.com/b/heyscriptingguy/archive/2011/08/31/use-powershell-to-find-locked-out-user-accounts.aspx

...и тут: http://ss64.com/ps/search-adaccount.html