Блог did5.ru

Про АйТи и около айтишные темы

Метка: Active Directory

[PowerShell] Блокировка ПК с Last Logon больше 90 дней

2 комментария

При большом парке компьютеров в домене сложно выявлять те, на которые давно никто не логинился. Тут PowerShell с командлетами Quest приходит на помощь. Простенький скрипт блокирует компьютеры, на которые никто не логилился больше 90 дней и вносит комментарий с датой блокровки в поле Description.

$Date = (Get-Date -format d)
Get-QADComputer -NotLoggedOnFor 90 -SearchRoot 'contoso.com/Computers' -LdapFilter '(!(userAccountControl:1.2.840.113556.1.4.803:=2))' | Disable-QADComputer | Set-QADComputer -Description "Disabled - $Date, LastLogon > 90 days" | Select name

Параметре –NotLoggedOnFor отвечает за значение LastLogon, т.е. больше скольки дней;
Фильтр -LdapFilter '(!(userAccountControl:1.2.840.113556.1.4.803:=2))' исключает уже заблокированные ПК.

Автор: did5

08 Дек 2014 в 16:34

Рубрика: PowerShell,Windows

Метки: ,

[PowerShell] Прописываем инициалы пользователям домена

Комментариев нет

Исторически так сложилось, что у пользователей домена не прописаны инициалы в профиле Active Directory. Данное упущение можно просто исправить с помощью PowerShell.

#Add-PSSnapin Quest.ActiveRoles.ADManagement
$i = 0
function ADQuery {
Get-QADUser -SearchRoot "OU=Сотрудники,OU=company,DC=domen,DC=ru" -LdapFilter `
"(objectCategory=person)(title=*)" -SizeLimit 0 }
function newInitial($user, $name, $oldinitial)
{
$splitname = $name.ToString().split()
$newinitial = $splitname[0].Remove(1) + $splitname[1].Remove(1) + $splitname[2].Remove(1)
if ($newinitial -cne $oldinitial)
{
Set-QADuser $user -Initials $newinitial
}
}
ADQuery | Foreach-Object {newInitial $_ $_.Name $_.Initials; $i++}
Write-Host "Всего обработано учетных записей -" $i

У меня в домене в всех пользователей ФИО прописано полностью, например – Иванов Петр Сергеевич. Инициалы им буду задавать по первым буквам ФИО, т.е. у Иванова получится – ИПС.

Автор: did5

07 Мар 2014 в 10:29

Рубрика: PowerShell,Windows

Метки: ,

Разрешить пользователю добавлять компьютеры в домен Active Directory

2 комментария

В рамках оптимизации нагрузки на тех.поддержку на предприятии принято решение о делегирование некоторых обязанностей на доверенных пользователей (далее по тексту — уполномоченных). Одной из таких задач будет добавление и удаление компьютеров в домене Active Directory.

add pc in domen web thumb Разрешить пользователю добавлять компьютеры в домен Active DirectoryПо умолчанию, если особо не менять стандартные политики безопасности домена, то рядовой пользователь без проблем сможет добавить компьютер в домен корпоративной сети. Но есть небольшое ограничение, он сможет добавить только 10 компьютеров. Если эта квота будет превышена, пользователь получит сообщение об ошибке:

«Компьютер не может быть присоединен к домену. На этом домене превышено максимально допустимое число учетных записей. Обратитесь к системному администратору с просьбой отменить это ограничение или увеличить значение.»

«Your computer could not be joined to the domain. You have exceeded the maximum number of computer accounts you are allowed to create in this domain. Contact your system administrator to have this limit reset or increased.»

Читать полностью »

Автор: did5

10 Июл 2012 в 14:13

Рубрика: Server,Windows

Метки: ,