Come trovare l’origine del blocco di un account usando PowerShell e ADAudit Plus

Una delle sfide più grandi che gli amministratori IT devono affrontare è quella di risalire all’origine del blocco di un account. È sempre possibile ottenere questa informazione usando Windows PowerShell, ma si tratta di un procedimento complicato. In alternativa, si può ottenere il risultato desiderato ricorrendo a uno strumento di auditing AD completo come ADAudit Plus.

Come trovare l’origine del blocco di un account usando Windows PowerShell e ADAudit Plus:

PowerShell

Procedura per ottenere l’origine del blocco account con PowerShell:

  • Identificare il dominio da cui desideri recuperare il report.
  • Identificare gli attributi LDAP di cui necessiti per recuperare il report.
  • Identificare il DC primario per recuperare il report.
  • Compilare lo script.
  • Eseguirlo in Windows PowerShell
  • Il report sarà esportato nel formato specificato.
  • Per ottenere il report in un formato differente, modificare lo script secondo le esigenze dell'utente.

Script di esempio per Windows PowerShell

#requires -Module ActiveDirectory
#Import-Module ActiveDirectory -EA Stop
Function Get-AccountLockoutStatus {
    [CmdletBinding()]
    param(
        [Parameter(
        ValueFromPipeline=$true,
        ValueFromPipelineByPropertyName=$true,
        Position=0)]
        [string[]]
        $ComputerName = (Get-ADDomainController -Filter * |  select -ExpandProperty Name),
        [Parameter()]
        [string]
        $Username,
        [Parameter()]
        [int]          
        $DaysFromToday = 3     
    )
     BEGIN {
        $Object = @()
    }
    PROCESS {
        Foreach ($Computer in $ComputerName) {
            try {
                $EventID = Get-WinEvent -ComputerName $Computer -FilterHashtable @{Logname = 'Security'; ID = 4740; StartTime = (Get-Date).AddDays(-$DaysFromToday)} -EA 0
                Foreach ($Event in $EventID) {
                    $Properties = @{Computername   = $Computer
                                    Time           = $Event.TimeCreated
                                    Username       = $Event.Properties.value[0]
                                    CallerComputer = $Event.Properties.value[1]
                                    }
                    $Object += New-Object -TypeName PSObject -Property $Properties | Select ComputerName, Username, Time, CallerComputer
                }
 
            } catch {
                $ErrorMessage = $Computer + " Error: " + $_.Exception.Message
                    
            } finally {
                if ($Username) {
                        Write-Output $Object | Where-Object {$_.Username -eq $Username}
                    } else {
                        Write-Output $Object
                }
                $Object = $null
            }
        }   
    }     
    END {}
}
 Copied
Fare clic per copiare l’intero script

ADAudit Plus

Per ottenere il report,

  • Accedere alla console web di ADAudit Plus.
  • Navigare fino a Report -> Gestione utenti -> Analizzatore blocco account
  • Nel menù a scomparsa “Dominio”, selezionare il dominio desiderato oppure “Tutti i domini”.
  • Se necessario, usare l’opzione “Cerca” per filtrare specifici nomi utente o controller di dominio.
  • Ottenere un elenco di tutti i blocchi account per il periodo selezionato.
    powershell-account- locked-out-source-1
  • Selezionare “Dettagli analizzatore” per ottenere i dettagli granulari riguardo all’origine di uno specifico blocco.
    powershell-account- locked-out-source-2
  • Revisiona i risultati che ti ha fornito ADAudit Plus: un’analisi dei vari componenti che possono essere all’origine del blocco di un account.
 

Di seguito sono elencate le limitazioni dell’uso di PowerShell per rintracciare l’origine del blocco di un account:

  • Possiamo eseguire questo script solo dai computer che dispongono del ruolo Active Directory Domain Services.
  • Lo script deve essere modificato se si desidera cambiare il formato della data, applicare fusi orari diversi ai risultati ed esportare il report in formati differenti.
  • L'applicazione di molteplici filtri, come "Durante l’orario di lavoro", aumenterà la complessità della query LDAP.

D’altro canto, ADAudit Plus scansionerà rapidamente tutti i controller di dominio per recuperare le informazioni relative alla possibile origine del blocco di un account, raccogliendo tutto in un report di facile comprensione. Gli amministratori IT possono usare queste informazioni per indagare e risolvere il problema.

  • Script PowerShell e semplificazione del controllo delle modifiche AD con ADAudit Plus.
  •  
  • Facendo clic su “Inizia subito la tua prova gratuita” accetti l’elaborazione dei tuoi dati personali in base all’informativa sulla privacy.
  •  
  • Grazie per lo scaricamento!
  • Il tuo scaricamento dovrebbe iniziare automaticamente tra 15 secondi. Altrimenti, fai clic qui per scaricare manualmente.