Como obter uma lista de contas de usuário expiradas e a data de expiração no AD usando PowerShell

Como obter uma lista de contas de usuário expiradas com PowerShell

Uma das tarefas mais importantes que um administrador de Active Directory realiza é garantir que as contas de usuários expiradas sejam relatadas de maneira oportuna e que ações sejam tomadas para removê-las ou desativá-las imediatamente. Observe que as contas de usuários para as quais você define uma data de expiração são criadas apenas temporariamente. Por exemplo, você pode ter criado várias contas de usuários para permitir que fornecedores façam login no Active Directory. Da mesma forma, você pode ter criado contas de usuários para contratados. Se deseja ver quais contas expiraram, execute o seguinte comando PowerShell:

      Search-ADAccount -Server $ThisDomain -Credential $Creds -AccountExpired -UsersOnly -ResultPageSize 2000 -resultSetSize $null| Select-Object Name, SamAccountName, DistinguishedName
      

Observe o uso do cmdlet PowerShell Search-ADAccount novamente, mas com um parâmetro diferente desta vez. O parâmetro que usamos é AccountExpired. Como o nome indica, o parâmetro AccountExpired ajuda a coletar contas de usuário que expiraram.

Como obter a data de expiração da conta usando PowerShell

Para obter a data de expiração da conta AD account expiration date para todos os usuários ativos no seu Active Directory, você pode usar o cmdlet Get-ADUser com a propriedade -AccountExpirationDate. Execute o seguinte script no PowerShell ISE no seu Windows Server:

      Get-ADUser -Filter 'enabled -eq $true' -Properties AccountExpirationDate | Select sAMAccountName, distinguishedName, AccountExpirationDate
      

Você receberá uma data e hora de expiração para uma lista completa dos seus usuários do AD.

Se você precisa de um resumo para um grupo específico, precisa modificar o script adicionando o parâmetro -SearchBase. Você pode encaminhar os dados para um arquivo .csv (por exemplo, para importá-lo para o Excel ou abrir em um editor de texto) adicionando |export-csv <Path> –NoTypeInformation

Supondo que precisamos exportar a lista de datas de expiração de contas para a unidade organizacional “IT” do domínio enterprise.com, a expressão que executaremos no DC será a seguinte:

      Get-ADUser -Filter 'enabled -eq $true' -Searchbase "OU=IT,DC=enterprise,DC=com" -Properties AccountExpirationDate | Select SAMAccountName, distinguishedName, AccountExpirationDate |export-csv C:TempExpiryDate.csv -NoTypeInformation
      

Resumindo, com habilidades mínimas de script Microsoft Powershell Search-ADAccount, combinado com Get-ADUser pode ajudá-lo a resolver muitas tarefas ad-hoc de limpeza e análise do AD.

Precisa de mais scripts do PowerShell para o Active Directory? Encontre PowerShell commands for Active Directory em uma única postagem do blog.