Comment découvrir la source du verrouillage d'un compte à l'aide de PowerShell et d'ADAudit Plus ?
» Comment découvrir la source du verrouillage d'un compte à l'aide de PowerShell et d'ADAudit Plus ?

Comment découvrir la source du verrouillage d'un compte à l'aide de PowerShell et d'ADAudit Plus ?

L’une des plus grandes difficultés pour les administrateurs informatiques, c’est de retrouver la source d'un verrouillage de compte. Vous pouvez toujours obtenir ces informations en utilisant Windows PowerShell, mais ce serait un processus compliqué. Vous pouvez également utiliser un outil d'audit AD complet comme ADAudit Plus pour atteindre cet objectif.

Cet article compare comment vous pouvez retrouver la source d'un verrouillage de compte en utilisant Windows PowerShell et ADAudit Plus :

PowerShell

Étapes à suivre pour obtenir la source d'un verrouillage de compte avec PowerShell :

  • Identifiez le domaine à partir duquel vous voulez récupérer le rapport.
  • Identifiez les attributs LDAP dont vous avez besoin pour obtenir le rapport.
  • Identifiez le DC primaire pour récupérer le rapport.
  • Compilez le script.
  • Exécutez-le dans Windows PowerShell
  • Le rapport sera exporté dans le format donné.
  • Pour obtenir le rapport dans un format différent, modifiez le script en fonction des besoins de l'utilisateur.

Exemple de script Windows PowerShell

#requires -Module ActiveDirectory
#Import-Module ActiveDirectory -EA Stop
Function Get-AccountLockoutStatus {
    [CmdletBinding()]
    param(
        [Parameter(
        ValueFromPipeline=$true,
        ValueFromPipelineByPropertyName=$true,
        Position=0)]
        [string[]]
        $ComputerName = (Get-ADDomainController -Filter * |  select -ExpandProperty Name),
        [Parameter()]
        [string]
        $Username,
        [Parameter()]
        [int]          
        $DaysFromToday = 3     
    )
     BEGIN {
        $Object = @()
    }
    PROCESS {
        Foreach ($Computer in $ComputerName) {
            try {
                $EventID = Get-WinEvent -ComputerName $Computer -FilterHashtable @{Logname = 'Security'; ID = 4740; StartTime = (Get-Date).AddDays(-$DaysFromToday)} -EA 0
                Foreach ($Event in $EventID) {
                    $Properties = @{Computername   = $Computer
                                    Time           = $Event.TimeCreated
                                    Username       = $Event.Properties.value[0]
                                    CallerComputer = $Event.Properties.value[1]
                                    }
                    $Object += New-Object -TypeName PSObject -Property $Properties | Select ComputerName, Username, Time, CallerComputer
                }
 
            } catch {
                $ErrorMessage = $Computer + " Error: " + $_.Exception.Message
                    
            } finally {
                if ($Username) {
                        Write-Output $Object | Where-Object {$_.Username -eq $Username}
                    } else {
                        Write-Output $Object
                }
                $Object = $null
            }
        }   
    }     
    END {}
}
 Copied
Cliquez pour copier tout le script

ADAudit Plus

Pour obtenir le rapport,

  • Connectez-vous à la console web ADAudit Plus.
  • Allez dans Rapports -> Gestion des utilisateurs -> Analyseur de verrouillage de compte
  • Dans le menu déroulant « Domaine », sélectionnez le domaine souhaité ou sélectionnez « Tous les domaines ».
  • Utilisez l'option « Recherche » pour filtrer les noms d'utilisateurs spécifiques, ou le contrôleur de domaine, si nécessaire.
  • Obtenez une liste de tous les verrouillages de comptes pour une période de votre choix.
    powershell-account- locked-out-source-1
  • Sélectionnez « Détails de l'analyseur » pour obtenir des informations détaillées sur la source d’un verrouillage particulier.
    powershell-account- locked-out-source-2
  • Évaluez les résultats que vous donne ADAudit Plus : Une analyse des différents composants qui pourraient être à l'origine d'un verrouillage de compte.
 

Voici les limites de l'utilisation de PowerShell pour retrouver la source d'un verrouillage de compte :

  • Nous ne pouvons exécuter ce script qu'à partir des ordinateurs qui ont le rôle de services de domaine Active Directory.
  • Le script doit être modifié pour modifier les formats de date, appliquer différents fuseaux horaires sur les résultats et exporter le rapport dans différents formats.
  • L'application d'un plus grand nombre de filtres, par exemple « Pendant les heures de bureau », augmente la complexité de la requête LDAP.

D'autre part, ADAudit Plus analyse rapidement tous les DC du domaine pour récupérer des informations sur la source probable d'un blocage de compte sous la forme d'un rapport intuitif. Les administrateurs informatiques peuvent utiliser ces informations pour étudier et résoudre le problème.

  • Créez des scripts PowerShell, et simplifiez la vérification des changements AD avec ADAudit Plus.
  •  
  • En cliquant sur « Commencez votre essai gratuit, », vous acceptez le traitement des données personnelles conformément à la Politique de confidentialité.
  •  
  • Merci du téléchargement !
  • Votre téléchargement doit commencer automatiquement dans 15 secondes. Sinon, cliquez ici pour télécharger manuellement.

Ressources connexes: