[PowerShell] Блокировка пользователей в AD с истекшим паролем
Я уже выкладывал скрипт для блокировки компьютеров в AD с Last Logon больше 90 дней, теперь пришло время пользователей. Для блокировки использую PowerShell с командлетами Quest. Скрипт ищет пользователей в определенном контейнере, если у них пароль не менялся более 90 дней назад, то блокирует учетку и делает пометку в поле Notes этой учетки.
$Date = (Get-Date -format d) Get-QADUser -PasswordNotChangedFor 90 -SearchRoot 'contoso.com/Users' | ` Disable-QADUser | ` Set-QADUser -Notes "Disabled - $Date, password expired > 90 days ago" | ` Select name
Для поиска учеток использую параметр – PasswordNotChangedFor со значением 90 дней, этого достаточно, чтобы отсеить отпускников, командировочных и т.д. Если этот скрипт запускать регулярно, то стоит добавить фильтр на уже заблокированные учетки, чтобы каждый раз не перезаписывать поле Notes. Фильтр можно взять из скрипта блокировки компьютеров (ссылка выше).
Нашли опечатку в тексте? Пожалуйста, выделите ее и нажмите Ctrl+Enter! Спасибо!
Хотите поблагодарить автора за эту заметку? Вы можете это сделать!