Come ottenere un elenco di account utente scaduti e la data di scadenza in AD utilizzando PowerShell

Come ottenere un elenco di account utente scaduti con PowerShell

Uno dei compiti più importanti che un amministratore di Active Directory esegue è assicurarsi che gli account utente scaduti vengano segnalati tempestivamente e che si intervenga immediatamente per rimuoverli o disabilitarli. Nota che gli account utente per i quali imposti una data di scadenza sono creati solo temporaneamente. Ad esempio, potresti aver creato diversi account utente per consentire ai fornitori di accedere all'Active Directory. Allo stesso modo, potresti aver creato account utente per i contractor. Se desideri vedere quali account sono scaduti, esegui il seguente comando PowerShell:

      Search-ADAccount -Server $ThisDomain -Credential $Creds -AccountExpired -UsersOnly -ResultPageSize 2000 -resultSetSize $null| Select-Object Name, SamAccountName, DistinguishedName
      

Nota l'uso del cmdlet PowerShell Search-ADAccount nuovamente ma con un'opzione diversa questa volta. L'opzione che utilizziamo è AccountExpired. Come suggerisce il nome, l'opzione AccountExpired ti aiuta a raccogliere gli account utente che sono scaduti.

Come ottenere la data di scadenza dell'account utilizzando PowerShell

Per ottenere la data di scadenza dell'account AD account expiration date per tutti gli utenti abilitati nel tuo Active Directory puoi utilizzare il cmdlet Get-ADUser con la proprietà -AccountExpirationDate. Esegui lo script seguente in PowerShell ISE sul tuo server Windows:

      Get-ADUser -Filter 'enabled -eq $true' -Properties AccountExpirationDate | Select sAMAccountName, distinguishedName, AccountExpirationDate
      

Riceverete una data e un'ora di scadenza per un elenco completo dei vostri utenti AD.

Se hai bisogno di un riepilogo per un gruppo specifico devi modificare lo script aggiungendo il parametro -SearchBase. Puoi indirizzare i dati in un file .csv (ad esempio per importarli in Excel o aprirli in un editor di testo) aggiungendo |export-csv <Path> –NoTypeInformation

Supponendo che dobbiamo esportare un elenco di date di scadenza degli account per l'unità organizzativa “IT” del dominio enterprise.com, l'espressione che eseguiremo sul DC sarà la seguente:

      Get-ADUser -Filter 'enabled -eq $true' -Searchbase "OU=IT,DC=enterprise,DC=com" -Properties AccountExpirationDate | Select SAMAccountName, distinguishedName, AccountExpirationDate |export-csv C:TempExpiryDate.csv -NoTypeInformation
      

Riassumendo, con competenze minime di scripting Microsoft Powershell Search-ADAccount, abbinato a Get-ADUser può aiutarti a risolvere molte attività ad-hoc di pulizia e analisi di AD.

Hai bisogno di altri script PowerShell per Active Directory? Trova PowerShell commands for Active Directory in un unico post del blog.