Jak pobrać listę użytkowników zablokowanych w Active Directory
Konta użytkownika w Active Directory mogą być blokowane z powodu zablokowania przez samego uprawnionego użytkownika lub problemu bezpieczeństwa. W obu tych przypadkach administratorzy IT muszą wyszukać zablokowane konta i podjąć działania naprawcze.
Poniżej przedstawiono porównanie generowania listy użytkowników zablokowanych w Active Directory za pomocą Windows PowerShell i ADAudit Plus:
PowerShell
Etapy pozyskiwania listy zablokowanych użytkowników:
- Określ domenę, z której ma zostać pobrany raport.
- Określ główny kontroler domeny, z którego ma zostać pobrany raport.
- Skompiluj skrypt.
- Wykonaj go w programie Windows PowerShell.
- Jeśli chcesz wyeksportować raport w pliku o konkretnym formacie, musisz odpowiednio spersonalizować cmdlet.
Przykładowy skrypt Windows PowerShell
Search-ADAccount –LockedOut -UsersOnly
Copied
ADAudit Plus
Uzyskiwanie raportu:
- Przejdź do obszaru Raporty -> Zarządzanie użytkownikiem -> Analizator blokady konta
- Wybierz żądaną „Domenę” lub „Wszystkie domeny”.
- Użyj opcji „Wyszukaj”, aby wyfiltrować konkretne nazwy użytkownika lub, w miarę potrzeby, kontrolera domeny.
- Pozyskaj listę wszystkich przypadków blokowania konta w wybranym okresie.
- Eksportuj raport w wybranym formacie: CSV, PDF, XLS lub HTML.
Poniżej przedstawiono ograniczenia dotyczące stosowania PowerShell w celu śledzenia przyczyny blokady konta:
- Ten skrypt można uruchomić tylko na komputerach z rolą Active Directory Domain Services.
- Trudności ze zmianą formatów daty.
- Trudności z zastosowaniem różnych stref czasowych w wynikach daty.
- Za każdym razem, gdy chce się uzyskać raport w innym formacie, należy napisać nowy kod.
- Zastosowanie filtrów, takich jak „W godzinach roboczych”, „Okres” czy „Eksportuj jako”, zwiększy złożoność zapytania LDAP.
Z kolei ADAudit Plus automatycznie skanuje wszystkie kontrolery domeny w domenie, aby pobrać listę przypadków zablokowania konta.
