Блог did5.ru

При большом парке компьютеров в домене сложно выявлять те, на которые давно никто не логинился. Тут PowerShell с командлетами Quest приходит на помощь. Простенький скрипт блокирует компьютеры, на которые никто не логилился больше 90 дней и вносит комментарий с датой блокровки в поле Description.

$Date = (Get-Date -format d)
Get-QADComputer -NotLoggedOnFor 90 -SearchRoot 'contoso.com/Computers' -LdapFilter '(!(userAccountControl:1.2.840.113556.1.4.803:=2))' | Disable-QADComputer | Set-QADComputer -Description "Disabled - $Date, LastLogon > 90 days" | Select name

Параметре –NotLoggedOnFor отвечает за значение LastLogon, т.е. больше скольки дней;
Фильтр -LdapFilter '(!(userAccountControl:1.2.840.113556.1.4.803:=2))' исключает уже заблокированные ПК.

Исторически так сложилось, что у пользователей домена не прописаны инициалы в профиле Active Directory. Данное упущение можно просто исправить с помощью PowerShell.

#Add-PSSnapin Quest.ActiveRoles.ADManagement
$i = 0
function ADQuery {
Get-QADUser -SearchRoot "OU=Сотрудники,OU=company,DC=domen,DC=ru" -LdapFilter `
"(objectCategory=person)(title=*)" -SizeLimit 0 }
function newInitial($user, $name, $oldinitial)
{
$splitname = $name.ToString().split()
$newinitial = $splitname[0].Remove(1) + $splitname[1].Remove(1) + $splitname[2].Remove(1)
if ($newinitial -cne $oldinitial)
{
Set-QADuser $user -Initials $newinitial
}
}
ADQuery | Foreach-Object {newInitial $_ $_.Name $_.Initials; $i++}
Write-Host "Всего обработано учетных записей -" $i

У меня в домене в всех пользователей ФИО прописано полностью, например – Иванов Петр Сергеевич. Инициалы им буду задавать по первым буквам ФИО, т.е. у Иванова получится – ИПС.

В рамках оптимизации нагрузки на тех.поддержку на предприятии принято решение о делегирование некоторых обязанностей на доверенных пользователей (далее по тексту — уполномоченных). Одной из таких задач будет добавление и удаление компьютеров в домене Active Directory.

По умолчанию, если особо не менять стандартные политики безопасности домена, то рядовой пользователь без проблем сможет добавить компьютер в домен корпоративной сети. Но есть небольшое ограничение, он сможет добавить только 10 компьютеров. Если эта квота будет превышена, пользователь получит сообщение об ошибке:

«Компьютер не может быть присоединен к домену. На этом домене превышено максимально допустимое число учетных записей. Обратитесь к системному администратору с просьбой отменить это ограничение или увеличить значение.»

«Your computer could not be joined to the domain. You have exceeded the maximum number of computer accounts you are allowed to create in this domain. Contact your system administrator to have this limit reset or increased.»

Читать полностью »