So erhalten Sie eine Liste abgelaufener Benutzerkonten und das Ablaufdatum in AD mithilfe von PowerShell

Wie man eine Liste abgelaufener Benutzerkonten mit PowerShell erhält

Eine der wichtigsten Aufgaben, die ein Active Directory-Administrator durchführt, ist sicherzustellen, dass abgelaufene Benutzerkonten rechtzeitig gemeldet werden und dass sofort Maßnahmen ergriffen werden, um sie zu entfernen oder zu deaktivieren. Beachten Sie, dass Benutzerkonten, für die Sie ein Ablaufdatum festlegen, nur vorübergehend erstellt werden. Beispielsweise könnten Sie mehrere Benutzerkonten erstellt haben, um Lieferanten das Anmelden am Active Directory zu ermöglichen. Ebenso könnten Sie Benutzerkonten für Auftragnehmer erstellt haben. Wenn Sie sehen möchten, welche Konten abgelaufen sind, führen Sie den folgenden PowerShell-Befehl aus:

      Search-ADAccount -Server $ThisDomain -Credential $Creds -AccountExpired -UsersOnly -ResultPageSize 2000 -resultSetSize $null| Select-Object Name, SamAccountName, DistinguishedName
      

Beachten Sie die Verwendung des Search-ADAccount PowerShell-Cmdlets erneut, jedoch diesmal mit einem anderen Schalter. Der Schalter, den wir verwenden, ist AccountExpired. Wie der Name schon sagt, hilft Ihnen der AccountExpired-Schalter dabei, abgelaufene Benutzerkonten zu sammeln.

So erhalten Sie das Ablaufdatum des Kontos mit PowerShell

Um das AD account expiration date für alle aktivierten Benutzer in Ihrem Active Directory zu erhalten, können Sie das Cmdlet Get-ADUser mit der Eigenschaft -AccountExpirationDate verwenden. Führen Sie das folgende Skript in der PowerShell ISE auf Ihrem Windows Server aus:

      Get-ADUser -Filter 'enabled -eq $true' -Properties AccountExpirationDate | Select sAMAccountName, distinguishedName, AccountExpirationDate
      

Sie erhalten ein Ablaufdatum und eine Uhrzeit für eine vollständige Liste Ihrer AD-Benutzer.

Wenn Sie eine Zusammenfassung für eine spezifische Gruppe benötigen, müssen Sie das Skript anpassen, indem Sie den Parameter -SearchBase hinzufügen. Sie können Daten in eine .csv-Datei umleiten (z.B. um sie in Excel zu importieren oder in einem Texteditor zu öffnen), indem Sie |export-csv <Path> –NoTypeInformation

Angenommen, wir müssen eine Liste der Ablaufdaten von Konten für die „IT“-Organisationseinheit der Domain enterprise.com exportieren, wird der Ausdruck, den wir auf dem DC ausführen, folgender sein:

      Get-ADUser -Filter 'enabled -eq $true' -Searchbase "OU=IT,DC=enterprise,DC=com" -Properties AccountExpirationDate | Select SAMAccountName, distinguishedName, AccountExpirationDate |export-csv C:TempExpiryDate.csv -NoTypeInformation
      

Zusammenfassend lässt sich sagen, dass mit minimalen Microsoft Powershell-Skriptfähigkeiten Search-ADAccount, kombiniert mit Get-ADUser, viele spontane AD-Bereinigungs- und Analyseaufgaben gelöst werden können.

Benötigen Sie mehr PowerShell-Skripte für Active Directory? Finden Sie alle am meisten gewünschten PowerShell-Befehle für Active Directory in einem Blogbeitrag.