PowerShell - Active Directory - Désactiver automatiquement les comptes expirés

-

Active Directory dispose de la capacité de définir une date d'expiration sur les comptes de sorte que le compte devienne inactif et ne puisse plus être accédé/connecté une fois que cette date est passée.

Le problème avec ce fonctionnement est qu'en théorie, le compte est toujours "activé" - car il n'est pas réellement "désactivé" - il est simplement expiré. Les comptes désactivés peuvent facilement être identifiés dans Active Directory Users & Computers par une icône légèrement différente à côté du nom du compte. Cependant, les comptes expirés n'ont aucune indication visuelle qu'ils sont expirés, ce qui les rend plus difficiles à identifier.

Voici un script rapide PowerShell que l'on peut lancer quotidiennement pour désactiver tous les comptes Active Directory qui ont expiré.


# Saisir l'unité organisationnelle (OU)
$Target = "OU=Disabled,OU=Accounts,DC=Labo,DC=local"

# Obtenir la liste des utilisateurs dont le compte est expiré et encore activé
$expiredusers = Get-ADUser -Filter { enabled -eq $true -and accountexpirationdate -like "*" } -Properties accountexpirationdate | 
Where-Object {
    ($_.AccountExpirationDate -lt $(Get-Date)) -and     # Date d'expiration passée
    ($_.AccountExpirationDate -ne $null) -and           # Date d'expiration non nulle
    ($_.Enabled -eq $true)                              # Compte toujours activé
}

# Pour chaque utilisateur dont le compte est expiré
ForEach ($user in $expiredusers) {
    # Désactiver le compte de l'utilisateur
    Set-ADUser -Identity $($user.SamAccountName) -Enabled $false -WhatIf

    # Déplacer l'objet utilisateur dans l'unité organisationnelle (OU) "Disabled"
    Move-ADObject -Identity $($user.DistinguishedName) -TargetPath $Target -WhatIf
}

Dans ce script, on va effectuer les actions suivantes :

  1. Il recherche les utilisateurs dont le compte est activé, la date d'expiration du compte est renseignée, mais la date d'expiration est passée et le compte est toujours activé.
  2. Pour chaque utilisateur qui répond à ces critères, le script désactive le compte de l'utilisateur (en utilisant Set-ADUser) et déplace l'objet utilisateur dans l'unité organisationnelle (OU) "Disabled" (en utilisant Move-ADObject). Les actions sont simulées en utilisant l'option -WhatIf.
N'oubliez pas que l'option -WhatIf permet de simuler les actions sans les exécuter réellement. Si vous souhaitez effectuer les actions, supprimez simplement l'option -WhatIf dans les commandes Set-ADUser et Move-ADObject. Assurez-vous de comprendre pleinement l'impact de ces actions sur votre environnement Active Directory avant de les exécuter. En conclusion, ce script PowerShell va vous faciliter considérablement la gestion des comptes expirés dans Active Directory en les désactivant. Cela non seulement améliore la sécurité en empêchant les personnes d'utiliser des comptes expirés.

Commentaires

Enregistrer un commentaire

Posts les plus consultés de ce blog

Powershell - Supprimer Teams sur l'ensemble des profils utilisateurs

-
Même si Microsoft Teams propose une version MSI de son programme, il ne sert que de source local d'installation, et l'installation se retrouve sur chaque profile. Donc voici un petit script que je vous partage pour retirer sur un poste teams sur l'ensemble du poste. function unInstallTeams ( $path ) { $clientInstaller = " $( $path ) \Update.exe " try { $process = Start-Process -FilePath " $clientInstaller " -ArgumentList " --uninstall /s " -PassThru -Wait -ErrorAction STOP if ( $process . ExitCode -ne 0 ) { Write-Error " UnInstallation failed with exit code $( $process . ExitCode ) . " } } catch { Write-Error $_ . Exception . Message } } # Remove Teams Machine-Wide Installer Write-Host " Removing Teams Machine-wide Installer " -ForegroundColor Yellow $MachineWide = Get-WmiObject -Class Win32_Product | Where-Object {
Lire la suite

Powershell - Comment tester les ports TCP ?

-
Image
  Et si on se passait de telnet ? Il est courant de vouloir savoir si un port spécifique est ouvert ou fermé sur un équipement réseau, pour ouvrir les ports depuis son firewall. Et souvent, je peux encore voir par-ci et par-là qu'il utilise encore Telnet. Et si on s'en passait ? Via un site internet Ici, nous sommes dans le cas où nous voudrions savoir si les ports de notre serveur en DMZ *. Et quoi de mieux qu'un site externe qui va tester pour nous notre serveur à distance. https://www.yougetsignal.com/tools/open-ports/  est l'un des nombreux sites qui propose ce service Via une simple recherche sur un moteur de recherche on peut trouver d'autre site qui vous proposera la même chose par exemple sur Duckduckgo via la recherche Open Port Check Tool Tester la connection via un port avec PowerShell Il y a deux solutions ici, la première est d'utiliser la fonction " Test-NetConnection " du module NetTCPIP qui est di
Lire la suite

MRemoteNG - Voir les mots de passe dans l'application

-
Image
MRemoteNG est une application Client RDP qui propose plusieurs onglets pour réduire l’encombrement des fenêtres. Il est un logiciel libre, Open Source et sous licence GPL. Le but est d’avoir un lieu central pour stocker toutes vos connexions et d’y accéder dans une même fenêtre. Il me permet au quotidien de me faciliter mon organisation et maintenir mes connexions. Il supporte l’importation de connexions à partir d’Active Directory. Il fournit la fonctionnalité « Quick Connect » qui permet d’ouvrir rapidement une connexion sans créer une entrée. J’utilise tous les jours dans mon boulot (admin système). Cette version supporte les protocoles suivants : RDP (Remote Desktop/Terminal Server) VNC (Virtual Network Computing) ICA (Citrix Independent Computing Architecture) SSH (Secure Shell) Telnet (TELecommunication NETwork) HTTP/HTTPS (Hypertext Transfer Protocol) rlogin Raw Socket Connections Pour moi, c’est un indispensable . Voir les mots de passe mRemoteNG Vous avez u
Lire la suite