Search-ADAccount :: Inaktive, deaktivierte oder abgelaufene Konten finden

Question

So würde ich es machen.

Get-ADUser -Filter * -Properties Enabled, AccountExpirationDate, LastLogonDate | ? { `
($_.Enabled -EQ $False) -OR `
($_.AccountExpirationDate -NE $NULL -AND $_.AccountExpirationDate -LT (Get-Date)) -OR `
($_.LastLogonDate -NE $NULL -AND $_.LastLogonDate -LT (Get-Date).AddDays(-90)) }

Ein Aufruf von AD ruft nur die Eigenschaften ab, die wir benötigen. Schließt alle Benutzer ein, die entweder deaktiviert, abgelaufen (eine ungewöhnliche Einstellung) oder „inaktiv“ sind.

Beachten Sie, dass LastLogonDate null ist, wenn das Benutzerkonto erstellt wurde, der Benutzer sich aber nie angemeldet hat.

Das AccountExpirationDate ist meistens auch null, da Administratoren diese Einstellung nicht oft verwenden. Sie müssen überprüfen, dass es nicht null ist, bevor sinnvolle Vergleiche mit Datumsangaben durchgeführt werden können.

Wenn Sie Benutzerkonten einschließen möchten, die sich nie angemeldet haben, entfernen Sie einfach das Häkchen für $Null bei LastLogonDate. Das bedeutet allerdings, dass Ihnen Konten angezeigt werden, die möglicherweise gestern erstellt wurden und sich einfach noch nicht anmelden konnten. Um dies auszugleichen, fügen Sie in diesem Fall ein Häkchen hinzu, um WhenCreated -LT (Get-Date).AddDays(-90)sicherzustellen, dass Sie nur Konten erhalten, die vor über 90 Tagen erstellt, aber nie angemeldet wurden.

Und um Ihre Frage zum Search-ADAccountCmdlet tatsächlich zu beantworten: Nein, verwenden Sie ein anderes Cmdlet, diese Schalter schließen sich gegenseitig aus.

Answer 1

So würde ich es machen.

Get-ADUser -Filter * -Properties Enabled, AccountExpirationDate, LastLogonDate | ? { `
($_.Enabled -EQ $False) -OR `
($_.AccountExpirationDate -NE $NULL -AND $_.AccountExpirationDate -LT (Get-Date)) -OR `
($_.LastLogonDate -NE $NULL -AND $_.LastLogonDate -LT (Get-Date).AddDays(-90)) }

Ein Aufruf von AD ruft nur die Eigenschaften ab, die wir benötigen. Schließt alle Benutzer ein, die entweder deaktiviert, abgelaufen (eine ungewöhnliche Einstellung) oder „inaktiv“ sind.

Beachten Sie, dass LastLogonDate null ist, wenn das Benutzerkonto erstellt wurde, der Benutzer sich aber nie angemeldet hat.

Das AccountExpirationDate ist meistens auch null, da Administratoren diese Einstellung nicht oft verwenden. Sie müssen überprüfen, dass es nicht null ist, bevor sinnvolle Vergleiche mit Datumsangaben durchgeführt werden können.

Wenn Sie Benutzerkonten einschließen möchten, die sich nie angemeldet haben, entfernen Sie einfach das Häkchen für $Null bei LastLogonDate. Das bedeutet allerdings, dass Ihnen Konten angezeigt werden, die möglicherweise gestern erstellt wurden und sich einfach noch nicht anmelden konnten. Um dies auszugleichen, fügen Sie in diesem Fall ein Häkchen hinzu, um WhenCreated -LT (Get-Date).AddDays(-90)sicherzustellen, dass Sie nur Konten erhalten, die vor über 90 Tagen erstellt, aber nie angemeldet wurden.

Und um Ihre Frage zum Search-ADAccountCmdlet tatsächlich zu beantworten: Nein, verwenden Sie ein anderes Cmdlet, diese Schalter schließen sich gegenseitig aus.

Search-ADAccount :: Inaktive, deaktivierte oder abgelaufene Konten finden

Antwort1

verwandte Informationen