PowerShell - Active Directory - Désactiver automatiquement les comptes expirés

-

Active Directory dispose de la capacité de définir une date d'expiration sur les comptes de sorte que le compte devienne inactif et ne puisse plus être accédé/connecté une fois que cette date est passée.

Le problème avec ce fonctionnement est qu'en théorie, le compte est toujours "activé" - car il n'est pas réellement "désactivé" - il est simplement expiré. Les comptes désactivés peuvent facilement être identifiés dans Active Directory Users & Computers par une icône légèrement différente à côté du nom du compte. Cependant, les comptes expirés n'ont aucune indication visuelle qu'ils sont expirés, ce qui les rend plus difficiles à identifier.

Voici un script rapide PowerShell que l'on peut lancer quotidiennement pour désactiver tous les comptes Active Directory qui ont expiré.


# Saisir l'unité organisationnelle (OU)
$Target = "OU=Disabled,OU=Accounts,DC=Labo,DC=local"

# Obtenir la liste des utilisateurs dont le compte est expiré et encore activé
$expiredusers = Get-ADUser -Filter { enabled -eq $true -and accountexpirationdate -like "*" } -Properties accountexpirationdate | 
Where-Object {
    ($_.AccountExpirationDate -lt $(Get-Date)) -and     # Date d'expiration passée
    ($_.AccountExpirationDate -ne $null) -and           # Date d'expiration non nulle
    ($_.Enabled -eq $true)                              # Compte toujours activé
}

# Pour chaque utilisateur dont le compte est expiré
ForEach ($user in $expiredusers) {
    # Désactiver le compte de l'utilisateur
    Set-ADUser -Identity $($user.SamAccountName) -Enabled $false -WhatIf

    # Déplacer l'objet utilisateur dans l'unité organisationnelle (OU) "Disabled"
    Move-ADObject -Identity $($user.DistinguishedName) -TargetPath $Target -WhatIf
}

Dans ce script, on va effectuer les actions suivantes :

  1. Il recherche les utilisateurs dont le compte est activé, la date d'expiration du compte est renseignée, mais la date d'expiration est passée et le compte est toujours activé.
  2. Pour chaque utilisateur qui répond à ces critères, le script désactive le compte de l'utilisateur (en utilisant Set-ADUser) et déplace l'objet utilisateur dans l'unité organisationnelle (OU) "Disabled" (en utilisant Move-ADObject). Les actions sont simulées en utilisant l'option -WhatIf.
N'oubliez pas que l'option -WhatIf permet de simuler les actions sans les exécuter réellement. Si vous souhaitez effectuer les actions, supprimez simplement l'option -WhatIf dans les commandes Set-ADUser et Move-ADObject. Assurez-vous de comprendre pleinement l'impact de ces actions sur votre environnement Active Directory avant de les exécuter. En conclusion, ce script PowerShell va vous faciliter considérablement la gestion des comptes expirés dans Active Directory en les désactivant. Cela non seulement améliore la sécurité en empêchant les personnes d'utiliser des comptes expirés.

Commentaires

Enregistrer un commentaire

Posts les plus consultés de ce blog

Powershell - Supprimer Teams sur l'ensemble des profils utilisateurs

-
Même si Microsoft Teams propose une version MSI de son programme, il ne sert que de source local d'installation, et l'installation se retrouve sur chaque profile. Donc voici un petit script que je vous partage pour retirer sur un poste teams sur l'ensemble du poste. function unInstallTeams ( $path ) { $clientInstaller = " $( $path ) \Update.exe " try { $process = Start-Process -FilePath " $clientInstaller " -ArgumentList " --uninstall /s " -PassThru -Wait -ErrorAction STOP if ( $process . ExitCode -ne 0 ) { Write-Error " UnInstallation failed with exit code $( $process . ExitCode ) . " } } catch { Write-Error $_ . Exception . Message } } # Remove Teams Machine-Wide Installer Write-Host " Removing Teams Machine-wide Installer " -ForegroundColor Yellow $MachineWide = Get-WmiObject -Class Win32_Product | Where-Object {
Lire la suite

Powershell - Comment tester les ports TCP ?

-
Image
  Et si on se passait de telnet ? Il est courant de vouloir savoir si un port spécifique est ouvert ou fermé sur un équipement réseau, pour ouvrir les ports depuis son firewall. Et souvent, je peux encore voir par-ci et par-là qu'il utilise encore Telnet. Et si on s'en passait ? Via un site internet Ici, nous sommes dans le cas où nous voudrions savoir si les ports de notre serveur en DMZ *. Et quoi de mieux qu'un site externe qui va tester pour nous notre serveur à distance. https://www.yougetsignal.com/tools/open-ports/  est l'un des nombreux sites qui propose ce service Via une simple recherche sur un moteur de recherche on peut trouver d'autre site qui vous proposera la même chose par exemple sur Duckduckgo via la recherche Open Port Check Tool Tester la connection via un port avec PowerShell Il y a deux solutions ici, la première est d'utiliser la fonction " Test-NetConnection " du module NetTCPIP qui est di
Lire la suite

PowerShell - Module pour rajouter le service WDS

-
Image
Windows Deployment Services ou WDS est une technologie de Microsoft qui va vous permettre  d'installer un système d'exploitation Windows via le réseau (PXE). Ils permettent d'installer à distance Windows Vista, Windows 7, Windows 8, Windows 8.1, Windows 10, Windows Server 2008, Windows Server 2012 et Windows Server 2016 mais il est également possible de déployer d'autres systèmes d'exploitation Windows, en effet, le processus d'installation se fait à l'aide d'une image de type Windows Imaging Format (WIM) contrairement à RIS qui avait pour procédé l'automatisation de la phase d'installation du système d'exploitation. Il est ainsi possible d'installer des systèmes d'exploitation avec des applications préinstallées. WDS est un rôle optionnel qui est inclus dans toutes les éditions serveur de Windows depuis Windows Server 2008. Pour utiliser ce script PowerShell, il faudra rajouter dans le paramètre le chemin du dossier à créer. De
Lire la suite