webentwicklung-frage-antwort-db.com.de

Wie kann ich überprüfen, ob ein AD-Konto gesperrt ist?

Ich möchte wissen, ob es möglich ist, zu überprüfen, ob ein bestimmtes AD-Konto gesperrt ist. 

Der Befehl Get-ADUser gibt diesen Parameter nicht zurück:

  -------------------------- BEISPIEL 3 ---------------------- ----

 Eingabeaufforderung: C:\PS> 
 Get-ADUser GlenJohn -Properties * 


 - Nachname: John 
 - Name: Glen John 
 - UserPrincipalName: jglen 
 - GivenName: Glen 
 - Aktiviert: Falsch 
 - SamAccountName: GlenJohn 
 - ObjectClass: 
 - Benutzer-SID: S-1-5-21-2889043008-4136710315-2444824263-3544 
 - ObjectGUID: e1418d64-096c-4cb0-b903-ebb66562d99d 
 - DistinguishedName: CN = Glen John, OU = NorthAmerica, OU = Umsatz, OU = UserAccounts, DC = FABRIKAM, DC = COM 

 Beschreibung :
 -----------

 Holen Sie sich alle Eigenschaften des Benutzers mit samAccountName 'GlenJohn' .

 -------------------------- ENDE BEISPIEL ---------------------- ----

Gibt es einen anderen Weg, um diese Informationen zu erhalten?

14
Vinc 웃

Nach der Eigenschaft LockedOut suchen Sie unter allen zurückgegebenen Eigenschaften. Sie sehen in TechNet nur unvollständige Ausgaben. Die Informationen sind immer noch da. Sie können diese eine Eigenschaft mit Select-Object isolieren. 

Get-ADUser matt -Properties * | Select-Object LockedOut

LockedOut
---------
False

Der Link, auf den Sie verweisen, enthält diese Informationen nicht, was offensichtlich irreführend ist. Testen Sie den Befehl mit Ihrem eigenen Konto und Sie werden viel mehr Informationen sehen. 

Hinweis: Versuchen Sie, -Properties * zu vermeiden. Obwohl es sich für einfache Tests eignet, können Abfragen, vor allem solche mit mehreren Konten, unnötig langsam werden. In diesem Fall brauchen Sie also nur lockedout:

Get-ADUser matt -Properties LockedOut | Select-Object LockedOut
29
Matt

Hier ist ein anderes:

PS> Search-ADAccount -Locked | Select Name, LockedOut, LastLogonDate

Name                                       LockedOut LastLogonDate
----                                       --------- -------------
Yxxxxxxx                                        True 14/11/2014 10:19:20
Bxxxxxxx                                        True 18/11/2014 08:38:34
Administrator                                   True 03/11/2014 20:32:05

Weitere erwähnenswerte Parameter:

Search-ADAccount -AccountExpired
Search-ADAccount -AccountDisabled
Search-ADAccount -AccountInactive

Get-Help Search-ADAccount -ShowWindow
8
evilSnobu

Ich habe auch diese Liste von Eigenschaftsflags gefunden: So verwenden Sie die UserAccountControl-Flags

SCRIPT  0x0001  1
ACCOUNTDISABLE  0x0002  2
HOMEDIR_REQUIRED    0x0008  8
LOCKOUT 0x0010  16
PASSWD_NOTREQD  0x0020  32
PASSWD_CANT_CHANGE 0x0040   64
ENCRYPTED_TEXT_PWD_ALLOWED  0x0080  128
TEMP_DUPLICATE_ACCOUNT  0x0100  256
NORMAL_ACCOUNT  0x0200  512
INTERDOMAIN_TRUST_ACCOUNT   0x0800  2048
WORKSTATION_TRUST_ACCOUNT   0x1000  4096
SERVER_TRUST_ACCOUNT    0x2000  8192
DONT_EXPIRE_PASSWORD    0x10000 65536
MNS_LOGON_ACCOUNT   0x20000 131072
SMARTCARD_REQUIRED  0x40000 262144
TRUSTED_FOR_DELEGATION  0x80000 524288
NOT_DELEGATED   0x100000    1048576
USE_DES_KEY_ONLY    0x200000    2097152
DONT_REQ_PREAUTH    0x400000    4194304
PASSWORD_EXPIRED    0x800000    8388608
TRUSTED_TO_AUTH_FOR_DELEGATION  0x1000000   16777216
PARTIAL_SECRETS_ACCOUNT 0x04000000      67108864

Sie müssen ein binäres AND der Eigenschaft userAccountControl mit 0x002 erstellen. Um alle gesperrten (d. H. Deaktivierten) Konten zu erhalten, können Sie nach folgenden Kriterien filtern:

(&(objectClass=user)(userAccountControl:1.2.840.113556.1.4.803:=2))

Operator 1.2.840.113556.1.4.803 siehe LDAP-Übereinstimmungsregeln

2

Wenn Sie über die Befehlszeile prüfen möchten, verwenden Sie den Befehl "Net User Benutzername/DOMAIN".

enter image description here

0
Aniket Warey

Dieser ScriptingGuy-Gastbeitrag verlinkt auf ein Skript von einem Microsoft PowerShell-Experten kann Ihnen beim Auffinden dieser Informationen helfen. Um jedoch vollständig zu überprüfen, warum sie gesperrt wurden und auf welchem ​​Computer die Sperre ausgelöst wurde, müssen Sie möglicherweise zusätzliche Überwachungsebenen über Gruppenrichtlinienobjekte aktivieren .

https://gallery.technet.Microsoft.com/scriptcenter/Get-LockedOutLocation-b2fd0cab#content

0
dragon788