Jak znaleźć przyczynę zablokowania konta za pomocą PowerShell oraz ADAudit Plus

Jednym z największych wyzwań stojących przed administratorami IT jest śledzenie przyczyn blokowania konta. Informację tę można zawsze zdobyć za pomocą Windows PowerShell, ale jest to proces skomplikowany. Ewentualnie można użyć kompletnego narzędzia do inspekcji AD, takiego jak ADAudit Plus.

W poniższym artykule porównano sposób śledzenia przyczyny zablokowania konta za pomocą Windows PowerShell oraz ADAudit Plus:

PowerShell

Etapy odkrywania przyczyny blokowania konta za pomocą PowerShell:

Określ domenę, z której ma zostać pobrany raport.
Określ atrybuty LDAP potrzebne do pobrania raportu.
Określ główny kontroler domeny, z którego ma zostać pobrany raport.
Skompiluj skrypt.
Wykonaj go w programie Windows PowerShell.
Raport zostanie wyeksportowany w podanym formacie.
Aby uzyskać raport w innym formacie, zmodyfikuj skrypt zgodnie z potrzebami użytkownika.

Sample Windows PowerShell script

#requires -Module ActiveDirectory
#Import-Module ActiveDirectory -EA Stop
Function Get-AccountLockoutStatus {
    [CmdletBinding()]
    param(
        [Parameter(
        ValueFromPipeline=$true,
        ValueFromPipelineByPropertyName=$true,
        Position=0)]
        [string[]]
        $ComputerName = (Get-ADDomainController -Filter * |  select -ExpandProperty Name),
        [Parameter()]
        [string]
        $Username,
        [Parameter()]
        [int]          
        $DaysFromToday = 3     
    )
     BEGIN {
        $Object = @()
    }
    PROCESS {
        Foreach ($Computer in $ComputerName) {
            try {
                $EventID = Get-WinEvent -ComputerName $Computer -FilterHashtable @{Logname = 'Security'; ID = 4740; StartTime = (Get-Date).AddDays(-$DaysFromToday)} -EA 0
                Foreach ($Event in $EventID) {
                    $Properties = @{Computername   = $Computer
                                    Time           = $Event.TimeCreated
                                    Username       = $Event.Properties.value[0]
                                    CallerComputer = $Event.Properties.value[1]
                                    }
                    $Object += New-Object -TypeName PSObject -Property $Properties | Select ComputerName, Username, Time, CallerComputer
                }
 
            } catch {
                $ErrorMessage = $Computer + " Error: " + $_.Exception.Message
                    
            } finally {
                if ($Username) {
                        Write-Output $Object | Where-Object {$_.Username -eq $Username}
                    } else {
                        Write-Output $Object
                }
                $Object = $null
            }
        }   
    }     
    END {}
}

Copied

Kliknij, aby skopiować cały skrypt

ADAudit Plus

Uzyskiwanie raportu:

Zaloguj się do konsoli sieciowej ADAudit Plus.
Przejdź do obszaru Raporty -> Zarządzanie użytkownikiem -> Analizator blokady konta
W menu rozwijanym „Domeny” wybierz żądaną domenę lub „Wszystkie domeny”.
Użyj opcji „Wyszukaj”, aby wyfiltrować konkretne nazwy użytkownika lub, w miarę potrzeby, kontrolera domeny.
Pozyskaj listę wszystkich przypadków blokowania konta w wybranym okresie.
Wybierz „Szczegóły analizatora”, aby uzyskać szczegółowe informacje o przyczynach konkretnej blokady.
Przeanalizuj wyniki uzyskane za pomocą ADAudit Plus: Analiza różnorodnych czynników, które mogą stanowić przyczynę blokady konta.

Poniżej przedstawiono ograniczenia dotyczące stosowania PowerShell w celu śledzenia przyczyny blokady konta:

Ten skrypt można uruchomić tylko na komputerach z rolą Active Directory Domain Services.
Aby zmienić formaty daty, zastosować w wynikach różne strefy czasowe oraz wyeksportować raport w innych formatach, należy zmodyfikować skrypt.
Zastosowanie większej liczby filtrów, takich jak „W godzinach roboczych”, zwiększy złożoność zapytania LDAP.

Z kolei ADAudit Plus szybko zeskanuje wszystkie kontrolery domeny w domenie, aby pobrać informacje o możliwej przyczynie blokady konta w formie intuicyjnego raportu. Administratorzy IT mogą wykorzystywać tę informację w celu zbadania i rozwiązania problemu.

Wykonywanie skryptów PowerShell i uproszczony audyt zmian w AD za pomocą ADAudit Plus.
Przez kliknięcie „Pobierz bezpłatną wersję próbną” akceptujesz licencję użytkownika i polityką prywatności.
Dziękujemy za pobranie!
Pobieranie powinno rozpocząć się automatycznie w ciągu 15 sekund. Jeśli nie rozpocznie się automatycznie, kliknij tutaj, aby pobrać ręcznie