Comment obtenir une liste des comptes utilisateurs expirés et la date d'expiration dans AD en utilisant PowerShell

Comment obtenir une liste des comptes d'utilisateurs expirés avec PowerShell

L'une des tâches les plus importantes qu'un administrateur Active Directory effectue consiste à s'assurer que les comptes utilisateurs expirés sont signalés en temps opportun et que des mesures sont prises pour les supprimer ou les désactiver immédiatement. Notez que les comptes utilisateurs pour lesquels vous avez défini une date d'expiration ne sont créés que temporairement. Par exemple, vous avez peut-être créé plusieurs comptes utilisateurs pour permettre aux fournisseurs de se connecter à l'Active Directory. De même, vous avez peut-être créé des comptes utilisateurs pour des entrepreneurs. Si vous souhaitez voir quels comptes ont expiré, exécutez la commande PowerShell suivante :

      Search-ADAccount -Server $ThisDomain -Credential $Creds -AccountExpired -UsersOnly -ResultPageSize 2000 -resultSetSize $null| Select-Object Name, SamAccountName, DistinguishedName
      

Notez l'utilisation de la cmdlet PowerShell Search-ADAccount à nouveau mais avec un commutateur différent cette fois-ci. Le commutateur que nous utilisons est AccountExpired. Comme le nom l'indique, le commutateur AccountExpired vous aide à collecter les comptes utilisateurs qui ont expiré.

Comment obtenir la date d'expiration d'un compte en utilisant PowerShell

Pour obtenir la date d'expiration du compte AD account expiration date pour tous les utilisateurs activés dans votre Active Directory, vous pouvez utiliser la cmdlet Get-ADUser avec la propriété -AccountExpirationDate. Exécutez le script suivant dans PowerShell ISE sur votre serveur Windows :

      Get-ADUser -Filter 'enabled -eq $true' -Properties AccountExpirationDate | Select sAMAccountName, distinguishedName, AccountExpirationDate
      

Vous obtiendrez une date et une heure d'expiration pour une liste complète de vos utilisateurs AD.

Si vous avez besoin d'un résumé pour un groupe spécifique, vous devez modifier le script en ajoutant le paramètre -SearchBase. Vous pouvez rediriger les données vers un fichier .csv (par exemple, pour l'importer dans Excel ou l'ouvrir dans un éditeur de texte) en ajoutant |export-csv <Path> –NoTypeInformation

En supposant que nous devons exporter la liste des dates d'expiration des comptes pour l'unité organisationnelle “IT” du domaine enterprise.com, l'expression que nous exécuterons sur le DC sera la suivante :

      Get-ADUser -Filter 'enabled -eq $true' -Searchbase "OU=IT,DC=enterprise,DC=com" -Properties AccountExpirationDate | Select SAMAccountName, distinguishedName, AccountExpirationDate |export-csv C:TempExpiryDate.csv -NoTypeInformation
      

En résumé, avec des compétences minimales en scripting Microsoft Powershell Search-ADAccount, combiné avec Get-ADUser, peut vous aider à résoudre de nombreuses tâches ponctuelles de nettoyage et d'analyse AD.

Besoin de plus de scripts PowerShell pour Active Directory ? Trouvez tous les commandes PowerShell les plus demandées pour Active Directory dans un seul article de blog.