Sådan finder du kilden til en kontospærring med PowerShell og ADAudit Plus

En af de største udfordringer for IT-administratorer er at spore kilden til en kontospærring. Du kan altid få disse oplysninger med Windows PowerShell, men det er kompliceret. Alternativt kan du bruge et værktøj til AD-overvågning som ADAudit Plus, der har omfattende funktioner.

Denne artikel sammenligner, hvordan du kan spore kilden til en kontospærring med Windows PowerShell og ADAudit Plus:

PowerShell

Skridt til at finde kilden til en kontospærring med PowerShell:

Fastlæg, hvilket domæne du vil hente rapporten fra.
Identificer de LDAP-attributter, du skal bruge til at hente rapporten.
Fastlæg den primære DC til at hente rapporten.
Kompilér scriptet.
Udfør det i Windows PowerShell
Rapporten vil blive eksporteret i det givne format.
Hvis du vil have rapporten i et andet format, skal du ændre scriptet i overensstemmelse med brugerens behov.

Eksempel på Windows PowerShell-script

#requires -Module ActiveDirectory
#Import-Module ActiveDirectory -EA Stop
Function Get-AccountLockoutStatus {
    [CmdletBinding()]
    param(
        [Parameter(
        ValueFromPipeline=$true,
        ValueFromPipelineByPropertyName=$true,
        Position=0)]
        [string[]]
        $ComputerName = (Get-ADDomainController -Filter * |  select -ExpandProperty Name),
        [Parameter()]
        [string]
        $Username,
        [Parameter()]
        [int]          
        $DaysFromToday = 3     
    )
     BEGIN {
        $Object = @()
    }
    PROCESS {
        Foreach ($Computer in $ComputerName) {
            try {
                $EventID = Get-WinEvent -ComputerName $Computer -FilterHashtable @{Logname = 'Security'; ID = 4740; StartTime = (Get-Date).AddDays(-$DaysFromToday)} -EA 0
                Foreach ($Event in $EventID) {
                    $Properties = @{Computername   = $Computer
                                    Time           = $Event.TimeCreated
                                    Username       = $Event.Properties.value[0]
                                    CallerComputer = $Event.Properties.value[1]
                                    }
                    $Object += New-Object -TypeName PSObject -Property $Properties | Select ComputerName, Username, Time, CallerComputer
                }
 
            } catch {
                $ErrorMessage = $Computer + " Error: " + $_.Exception.Message
                    
            } finally {
                if ($Username) {
                        Write-Output $Object | Where-Object {$_.Username -eq $Username}
                    } else {
                        Write-Output $Object
                }
                $Object = $null
            }
        }   
    }     
    END {}
}

Kopieret

Klik for at kopiere hele scriptet

ADAudit Plus

Sådan får du rapporten:

Log ind på ADAudit Plus-webkonsollen.
Naviger til Rapporter -> Brugeradministration -> Analyse af kontospærring
I rullemenuen "Domæne" skal du vælge enten det ønskede domæne eller "Alle domæner".
Brug funktionen "Søg" til at filtrere efter specifikke brugernavne eller domænecontrollere efter behov.
Få en liste over alle kontospærringer i en ønsket periode.
Vælg "Analysedetaljer" for at få detaljerede oplysninger om kilden til en bestemt spærring.
Gennemgå resultaterne fra ADAudit Plus: En analyse af de forskellige komponenter, der kan være kilden til en kontospærring.

Når PowerShell bruges til at spore kilden til en kontospærring, er der følgende begrænsninger:

Vi kan kun køre dette script fra computere, der har rollen Active Directory-domæneservices.
Hvis du vil ændre datoformat, anvende forskellige tidszoner på resultaterne og eksportere rapporten i forskellige formater, skal scriptet ændres.
Hvis du anvender flere filtre, f.eks. "I kontortiden", bliver LDAP-forespørgslen mere kompleks.

ADAudit Plus vil derimod hurtigt scanne alle domænecontrollere i domænet for at hente oplysninger om den sandsynlige kilde til en kontospærring i form af en intuitiv rapport. IT-administratorer kan bruge disse oplysninger til at undersøge og løse problemet.