Как найти все учетные записи компьютеров в моем домене Active Directory, которые были неактивны в течение x дней с помощью PowerShell?
Обратите внимание, что я действительно знаю, как это сделать. Это вопрос с самостоятельным ответом, просто чтобы получить знания там. Если у кого-то есть лучший способ, не стесняйтесь опубликовать его!
Ответы:
Это даст вам все учетные записи компьютеров, которые не имеют активности в течение последних 365 дней.
Search-ADAccount -AccountInactive -ComputersOnly -TimeSpan 365.00:00:00Это отсортировало бы вас по lastlogondate.
Search-ADAccount -AccountInactive -ComputersOnly -TimeSpan 365.00:00:00 | Sort-Object lastlogondate | Ft name,lastlogondate -autoЭто даст вам отключенные учетные записи компьютеров.
Search-ADAccount -AccountDisabled -ComputersOnly По умолчанию компьютеры меняют пароль своей учетной записи каждые 30 дней. Если компьютер не менял свой пароль в течение длительного периода времени, это означает, что он больше не подключен к сети.
Этот скрипт PowerShell выведет 2 текстовых файла. Один для отключенных компьютеров, другой для объектов учетных записей потерянных компьютеров. У вас должен быть установлен модуль Active Directory PowerShell.
В этом примере я исключаю подразделение «Зашифрованные ноутбуки», так как это мобильные ноутбуки, которые отключены на длительное время. Вы можете удалить этот раздел, если у вас нет аналогичных настроек
Import-Module ActiveDirectory
$Date = [DateTime]::Today
#Sets the deadline for when computers should have last changed their password by.
$Deadline = $Date.AddDays(-365)
#Makes the date string for file naming
$FileName = [string]$Date.month + [string]$Date.day + [string]$Date.year
#Generates a list of computer accounts that are enabled and aren't in the Encrypted Computers OU, but haven't set their password since $Deadline
$OldList = Get-ADComputer -Filter {(PasswordLastSet -le $Deadline) -and (Enabled -eq $TRUE)} -Properties PasswordLastSet -ResultSetSize $NULL |
Where {$_.DistinguishedName -notlike "*Encrypted Laptops*"} |
Sort-Object -property Name | FT Name,PasswordLastSet,Enabled -auto
#Generates a list of computer accounts that are disabled and sorts by name.
$DisabledList = Get-ADComputer -Filter {(Enabled -eq $FALSE)} -Properties PasswordLastSet -ResultSetSize $null |
Sort-Object -property Name | FT Name,PasswordLastSet,Enabled -auto
#Creates the two files, assuming they are not $NULL. If they are $NULL, the file will not be created.
if ($OldList -ne $NULL) {
Out-File "C:\users\marra\desktop\Old$Filename.txt" -InputObject $OldList
}
if ($DisabledList -ne $NULL) {
Out-File "C:\users\marra\desktop\Disabled$Filename.txt" -InputObject $DisabledList
}Миллион спасибо! Я хотел добавить свой твик к этому. Мне нужно было найти только те серверы, которые были либо отключены, либо не отключены и не работают. Это то, что я придумал, и это, казалось, сработало.
Import-Module ActiveDirectory
$Date = [DateTime]::Today
#Sets the deadline for when computers should have last changed their password by.
$Deadline = $Date.AddDays(-365)
#Makes the date string for file naming
$FileName = [string]$Date.month + [string]$Date.day + [string]$Date.year
#Generates a list of computer server accounts that are enabled, but haven't set their password since $Deadline
$OldList = Get-ADComputer -Filter {(PasswordLastSet -le $Deadline) -and (Enabled -eq $TRUE) -and (OperatingSystem -Like "Windows *Server*")} -Properties PasswordLastSet -ResultSetSize $NULL |
Sort-Object -property Name | FT Name,PasswordLastSet,Enabled -auto
#Generates a list of computer server accounts that are disabled and sorts by name.
$DisabledList = Get-ADComputer -Filter {(Enabled -eq $FALSE) -and (OperatingSystem -Like "Windows *Server*")} -Properties PasswordLastSet -ResultSetSize $null |
Sort-Object -property Name | FT Name,PasswordLastSet,Enabled -auto
#Creates the two files, assuming they are not $NULL. If they are $NULL, the file will not be created.
if ($OldList -ne $NULL) {
Out-File "C:\temp\Old$Filename.txt" -InputObject $OldList
}
if ($DisabledList -ne $NULL) {
Out-File "C:\temp\Disabled$Filename.txt" -InputObject $DisabledList
} Я знаю, что ОП явно просил PowerShell, но если он вам не нравится, у вас его нет, и вы не хотите изучать еще один синтаксис Microsoft, то следующий фрагмент кода Python даст вам дату в правильном формате для использования. с запросом LDAP.
import datetime, time
def w32todatetime(w32):
return datetime.fromtimestamp((w32/10000000) - 11644473600)
def datetimetow32(dt):
return int((time.mktime(dt.timetuple()) + 11644473600) * 10000000)
90daysago = datetime.datetime.now() - datetime.timedelta(days=90)
print datetimetow32(90daysago)Который затем можно использовать следующим образом, чтобы найти все компьютеры Windows, которые не изменили свои пароли за последние 90 дней.
(&(objectCategory=computer)(objectClass=computer)(operatingSystem=Windows*)(pwdLastSet<=130604356890000000))Вероятно, вам нужно только 30, так как период времени по умолчанию для машин Windows, чтобы изменить их пароль, составляет 30 дней, но 90 кажется безопаснее, если вы забыли о ПК, который находится под столом Боба и никогда не включается.
РЕДАКТИРОВАТЬ: О, также я пропустил поддержку часового пояса в этом, что, вероятно, не имеет значения в этом случае использования, но может в других.