如何查找在特定日期被禁用的用戶
[英]How to find users who were disabled specific dates
問題描述
有人可以幫我在特定時間范圍內從 AD 中找到禁用的帳戶嗎?
例如,我可以運行一個顯示過去 30 天、60 天、90 天的腳本
Search-ADAccount -SearchBase "DC=corp,DC=ad,DC=iata,DC=org" -AccountDisabled -UsersOnly | Get-ADUser -Properties whenChanged | Where whenChanged -gt (Get-Date).AddDays(-60) | Export-CSV “C:\Disabledusers60.CSV” –NoTypeInformation
問題是這樣我也會看到 2022 年 1 月的當前用戶,我的想法是能夠運行一個特定的日期,所以在 2 月底有一個 12 月 1 日至 31 日之間的禁用用戶列表12 月。然后在 3 月獲得從 1 月 1 日到 1 月 31 日的列表,依此類推。
這種方式不會在過去 60 天內從 AD 中退出,包括當月禁用的帳戶。
對不起,大線程的解釋,希望有人可以在這里帶來一些啟示。
2 個解決方案
解決方案1
0 2022-02-02 13:25:09
這應該會為您提供一個禁用的 AD 用戶列表,並且他們的WhenChanged屬性介於該月的第一天和最后一天之間。
$today = [datetime]::Today
$firstDay = [datetime]::new($today.Year, $today.Month, 1, 0, 0, 0).ToString('yyyyMMddHHmmss.0Z')
$lastDay = [datetime]::new($today.Year, $today.Month + 1, 1, 0, 0, 0).AddSeconds(-1).ToString('yyyyMMddHHmmss.0Z')
$params = @{
SearchBase = "DC=corp,DC=ad,DC=iata,DC=org"
Properties = "whenChanged"
LDAPFilter = "(&(userAccountControl:1.2.840.113556.1.4.803:=2)(whenChanged>=$firstDay)(whenChanged<=$lastDay))"
}
Get-ADUser @params | Export-Csv ...
解決方案2
0 2022-02-02 16:27:35
正如所評論的, whenChanged屬性不一定是用戶被禁用的日期和時間,因為之后可能對用戶帳戶進行了其他修改。
如何探測事件4725的 windows 事件日志(==> 用戶帳戶已禁用)?
# example timeframe December 2021
$startTime = [datetime]'12/1/2021'
$endTime = $startTime.AddMonths(1).AddDays(-1)
$filter = @{LogName='Security';ProviderName='Microsoft-Windows-Security-Auditing';ID=4725;StartTime=$startTime;EndTime=$endTime }
$result = Get-WinEvent -FilterHashtable $filter -ComputerName <YourDC> | ForEach-Object {
# convert the event to XML and grab the Event node
$eventXml = ([xml]$_.ToXml()).Event
$userName = ($eventXml.EventData.Data | Where-Object { $_.Name -eq 'TargetUserName' }).'#text'
$userSID = ($eventXml.EventData.Data | Where-Object { $_.Name -eq 'TargetSid' }).'#text'
$userDomain = ($eventXml.EventData.Data | Where-Object { $_.Name -eq 'TargetDomainName' }).'#text'
# output the properties you need
[PSCustomObject]@{
UserName = $userName
UserSID = $userSID
UserDomain = $userDomain
Disabled = [DateTime]$eventXml.System.TimeCreated.SystemTime
}
}
# output on screen
$result
# output to CSV file
$outFile = 'X:\DisabledUsers_{0:MMM-yyyy}.csv' -f $startTime
$result | Export-Csv -Path $outFile -NoTypeInformation
如何在get-aduser命令中使用多個where-object條件獲取“那些被排除的用戶”的報告?
[英]How to get report of “those users who were excluded” using multiple where-object conditions in get-aduser command?
Powershell腳本可搜索AD中的特定OU並查找屬於組成員的禁用用戶
[英]Powershell Script to search specific OU in AD and find disabled users that is member of a group
如何找出誰對Exchange 2010中的用戶列表具有完全郵箱訪問權限
[英]How to find out who has full mailbox access for a list of users in exchange 2010
Get-CASMailbox - 如何查找從全局地址列表中隱藏的用戶列表以及啟用 owa 的用戶列表?
[英]Get-CASMailbox - How to find list of users hidden from the Global Address List and who are owa enabled?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
如何查找在日期范圍內被禁用的用戶
Powershell,僅查找過去 14 天內禁用的用戶
從被禁用的用戶中刪除組成員身份
如何在get-aduser命令中使用多個where-object條件獲取“那些被排除的用戶”的報告?
Powershell腳本可搜索AD中的特定OU並查找屬於組成員的禁用用戶
嘗試使用 Powershell 在 AD 中查找啟用或禁用的用戶
查找不包括殘疾用戶的組成員
查找可以重置其他AD用戶密碼的AD用戶
如何找出誰對Exchange 2010中的用戶列表具有完全郵箱訪問權限
Get-CASMailbox - 如何查找從全局地址列表中隱藏的用戶列表以及啟用 owa 的用戶列表?
相關標簽