Cómo obtener una lista de usuarios deshabilitados en AD con o sin PowerShell
Netwrix Auditor for Active Directory
- Ejecute Netwrix Auditor → Vaya a “Informes” → Despliegue la sección “Active Directory” → Acceda a “Active Directory – Estado en el Tiempo” → Seleccione “Cuentas de Usuario” → Haga clic en “Ver” → Establezca el parámetro “Estado” en “Deshabilitado” → Haga clic en “Ver Informe”.
- Para guardar el informe, haga clic en el botón "Exportar" → Elija un formato del menú desplegable → Haga clic en “Guardar”.
Auditoría Nativa
Prerrequisito: Dado que tanto los cmdlets Search-ADAccount como Search-ADAccount forman parte del módulo de PowerShell de Active Directory, necesitará importar el módulo a su controlador de dominio utilizando el siguiente comando:
Import-Module ActiveDirectory
1. Abra el ISE de PowerShell en cualquiera de sus controladores de dominio→ Ejecute uno de los siguientes scripts, prestando mucha atención a las propiedades utilizadas:
Usando el cmdlet Get-ADUser:
Get-ADUser -Filter {(Enabled -eq $False)} -ResultPageSize 2000-ResultSetSize $null -Properties Name, LastLogon | Export-CSV “C:\Temp\DisabledUsers.CSV” –NoTypeInformation
Usando el cmdlet Search-ADAccount:
Search-ADAccount –AccountDisabled –UsersOnly –ResultPageSize 2000 –ResultSetSize $null | Select-Object SamAccountName, DistinguishedName | Export-CSV “C:\Temp\DisabledUsers.CSV” –NoTypeInformation
2. Abra el archivo generado por el script en MS Excel.
Si desea ver los resultados en la salida de la consola de comandos, elimine la parte del script Export-CSV.
Encuentre usuarios deshabilitados en AD y exporte los resultados en unos pocos clics, en lugar de programar en PowerShell
Cuando un empleado deja la empresa o una aplicación ya no es necesaria, es importante desactivar la cuenta de usuario AD asociada o la cuenta de servicio para el mantenimiento y por motivos de seguridad. Pero esas cuentas deshabilitadas representan una seria amenaza — pueden ser reactivadas y explotadas por atacantes que buscan acceso a Microsoft Active Directory, servidores Windows y otros sistemas integrados con AD. Por lo tanto, es crítico conocer todas las cuentas de usuario deshabilitadas en su Active Directory y eliminarlas de manera oportuna para reforzar la seguridad de su entorno de TI. Como resultado, encontrar cuentas de usuario deshabilitadas en un dominio de Active Directory es una consulta común en la rutina diaria de gestión administrativa.
Revisar una sola cuenta de AD es sencillo utilizando ADUC. Sin embargo, obtener las propiedades de los usuarios en masa de esa manera puede llevar mucho tiempo. Puedes optar por usar scripts de PowerShell y cmdlets de PowerShell para obtener una lista de usuarios deshabilitados y exportar esa lista a un archivo CSV. No obstante, ese enfoque requiere habilidades de scripting en Windows PowerShell, y en entornos grandes, exportar objetos de usuario a CSV usando PowerShell todavía puede tomar bastante tiempo.
Netwrix Auditor for Active Directory facilita la obtención rápida de usuarios que están deshabilitados, listados con detalles importantes, como la OU específica a la que pertenece la cuenta y su última marca de tiempo de inicio de sesión, sin la necesidad de escribir un solo script en PowerShell. Puedes filtrar rápidamente los resultados y exportar la lista de cuentas de usuario deshabilitadas a cualquiera de los múltiples formatos de archivo de salida, incluyendo CSV. Luego puedes identificar fácilmente cualquier cuenta de usuario que ya no sea necesaria y que pueda ser eliminada como parte de tus procedimientos de mantenimiento de TI. Incluso puedes suscribirte al informe para mantenerte al día sobre las cuentas de usuario deshabilitadas sin mover un dedo. Netwrix Auditor también te permite buscar cualquier evento en todo tu rastro de auditoría a través de sistemas integrados, y crear informes y alertas personalizados basados en tus requisitos para fortalecer aún más tu seguridad.
Compartir en