Gdy masz dużą bazę danych Active Directory z setkami lub tysiącami użytkowników, znalezienie zablokowanych kont może być wyzwaniem.
Jeżeli często otrzymujesz prośby o zablokowanych kontach, warto użyć PowerShell’a, aby szybko wylistować wszystkie takie konta. Takie podejście może również służyć do statystyki, którzy użytkownicy często mają blokowane konta. Przyczyny takiego stanu rzeczy są dwie, użytkownik jest zapominalski i nie pamięta hasła lub ktoś próbuje się dostać w sposób nieuprawiony do konta.
W tym wpisie pokażę jakiego polecenia należy użyć, aby wygenerować listę zablokowanych konta.
Account Lockout Threshold
Zablokowanie konta użytkownika w domenie nie jest domyślnie uruchomioną opcją w Group Policy Management.
Uruchomienie tej konfiguracji wymaga przygotowania nowej Zasady GPO (zachęcam do obejrzenia nagrań na kanale YT).
Uruchomienie tej konkretnej opcji wymaga przejścia do: Computer Configuration – > Policies ->Windows Settings ->Security Settings – >Account Policies ->Account Lockout Policy
Powyższa konfiguracja spowoduje automatyczne zablokowanie konta po 3 próbach podania błędnego hasła. Dodatkowo 0 w Account lockout duration wymaga odblokowania konta przez Adminsitratora ręcznie.
Można oczywiście skonfigurować te ustawienia tak, aby konto było automatycznie odblokowanie po określonym czasie: należy zmienić ustawienia 1 oraz 3, domyślnie obydwa te ustawienia mają wartość po 30 minut.
Jak sprawdzić, czy konto AD jest zablokowane
Gdy konto zostało zablokowane, można je pobrać przy pomocy prostego polecenia PowerShell.
Należy zalogować się do kontrolera domeny.
Następnie uruchom PowerShell jako Administrator.
W konsole należy wpisać poniższe polecenie
1 |
Search-ADAccount -LockedOut |
Jeżeli zależy Ci na ogrniczeniu wyświetlonych informacji użyj poniższego polecenia
1 |
Search-ADAccount -LockedOut | FT Name,LastLogonDate |
Podsumowanie
Proste polecenie Search-ADAccount -LockedOut pokaże wszystkie konta, które są zablokowane w Active Directory.
Dziękuję Ci, za poświęcony czas na przeczytanie tego artykułu. Jeśli był on dla Ciebie przydatny, to gorąco zachęcam Cię do zapisania się na mój newsletter, jeżeli jeszcze Cię tam nie ma. Proszę Cię także o “polubienie” mojego bloga na Facebooku oraz kanału na YouTube – pomoże mi to dotrzeć do nowych odbiorców. Raz w tygodniu (niedziela punkt 17.00) otrzymasz powiadomienia o nowych artykułach / projektach zanim staną się publiczne. Możesz również pozostawić całkowicie anonimowy pomysł na wpis/nagranie.
Link do formularza tutaj: https://beitadmin.pl/pomysly
Pozostaw również komentarz lub napisz do mnie wiadomość odpisuję na każdą, jeżeli Masz jakieś pytania:).