PowerShell - Active Directory - Désactiver automatiquement les comptes expirés

-

Active Directory dispose de la capacité de définir une date d'expiration sur les comptes de sorte que le compte devienne inactif et ne puisse plus être accédé/connecté une fois que cette date est passée.

Le problème avec ce fonctionnement est qu'en théorie, le compte est toujours "activé" - car il n'est pas réellement "désactivé" - il est simplement expiré. Les comptes désactivés peuvent facilement être identifiés dans Active Directory Users & Computers par une icône légèrement différente à côté du nom du compte. Cependant, les comptes expirés n'ont aucune indication visuelle qu'ils sont expirés, ce qui les rend plus difficiles à identifier.

Voici un script rapide PowerShell que l'on peut lancer quotidiennement pour désactiver tous les comptes Active Directory qui ont expiré.


# Saisir l'unité organisationnelle (OU)
$Target = "OU=Disabled,OU=Accounts,DC=Labo,DC=local"

# Obtenir la liste des utilisateurs dont le compte est expiré et encore activé
$expiredusers = Get-ADUser -Filter { enabled -eq $true -and accountexpirationdate -like "*" } -Properties accountexpirationdate | 
Where-Object {
    ($_.AccountExpirationDate -lt $(Get-Date)) -and     # Date d'expiration passée
    ($_.AccountExpirationDate -ne $null) -and           # Date d'expiration non nulle
    ($_.Enabled -eq $true)                              # Compte toujours activé
}

# Pour chaque utilisateur dont le compte est expiré
ForEach ($user in $expiredusers) {
    # Désactiver le compte de l'utilisateur
    Set-ADUser -Identity $($user.SamAccountName) -Enabled $false -WhatIf

    # Déplacer l'objet utilisateur dans l'unité organisationnelle (OU) "Disabled"
    Move-ADObject -Identity $($user.DistinguishedName) -TargetPath $Target -WhatIf
}

Dans ce script, on va effectuer les actions suivantes :

  1. Il recherche les utilisateurs dont le compte est activé, la date d'expiration du compte est renseignée, mais la date d'expiration est passée et le compte est toujours activé.
  2. Pour chaque utilisateur qui répond à ces critères, le script désactive le compte de l'utilisateur (en utilisant Set-ADUser) et déplace l'objet utilisateur dans l'unité organisationnelle (OU) "Disabled" (en utilisant Move-ADObject). Les actions sont simulées en utilisant l'option -WhatIf.
N'oubliez pas que l'option -WhatIf permet de simuler les actions sans les exécuter réellement. Si vous souhaitez effectuer les actions, supprimez simplement l'option -WhatIf dans les commandes Set-ADUser et Move-ADObject. Assurez-vous de comprendre pleinement l'impact de ces actions sur votre environnement Active Directory avant de les exécuter. En conclusion, ce script PowerShell va vous faciliter considérablement la gestion des comptes expirés dans Active Directory en les désactivant. Cela non seulement améliore la sécurité en empêchant les personnes d'utiliser des comptes expirés.

Commentaires

Enregistrer un commentaire

Posts les plus consultés de ce blog

Powershell - Supprimer Teams sur l'ensemble des profils utilisateurs

-
Même si Microsoft Teams propose une version MSI de son programme, il ne sert que de source local d'installation, et l'installation se retrouve sur chaque profile. Donc voici un petit script que je vous partage pour retirer sur un poste teams sur l'ensemble du poste. function unInstallTeams ( $path ) { $clientInstaller = " $( $path ) \Update.exe " try { $process = Start-Process -FilePath " $clientInstaller " -ArgumentList " --uninstall /s " -PassThru -Wait -ErrorAction STOP if ( $process . ExitCode -ne 0 ) { Write-Error " UnInstallation failed with exit code $( $process . ExitCode ) . " } } catch { Write-Error $_ . Exception . Message } } # Remove Teams Machine-Wide Installer Write-Host " Removing Teams Machine-wide Installer " -ForegroundColor Yellow $MachineWide = Get-WmiObject -Class Win32_Product | Where-Object {...
Lire la suite

Powershell - Comment tester les ports TCP ?

-
Image
  Et si on se passait de telnet ? Il est courant de vouloir savoir si un port spécifique est ouvert ou fermé sur un équipement réseau, pour ouvrir les ports depuis son firewall. Et souvent, je peux encore voir par-ci et par-là qu'il utilise encore Telnet. Et si on s'en passait ? Via un site internet Ici, nous sommes dans le cas où nous voudrions savoir si les ports de notre serveur en DMZ *. Et quoi de mieux qu'un site externe qui va tester pour nous notre serveur à distance. https://www.yougetsignal.com/tools/open-ports/  est l'un des nombreux sites qui propose ce service Via une simple recherche sur un moteur de recherche on peut trouver d'autre site qui vous proposera la même chose par exemple sur Duckduckgo via la recherche Open Port Check Tool Tester la connection via un port avec PowerShell Il y a deux solutions ici, la première est d'utiliser la fonction " Test-NetConnection " du module NetTCPIP qui est di...
Lire la suite

MDT - Guide de résolution des problèmes courants de configuration lors du déploiement d'un système d'exploitation Microsoft

-
Image
Introduction Microsoft Deployment Toolkit (MDT) est une suite d'outils gratuits destinée à simplifier le déploiement d'ordinateurs de bureau, portables et de serveurs. Elle permet notamment de créer une image de référence de base, appelée également image dorée, ou une solution de déploiement complète. Récemment, j'ai travaillé sur la mise en place d'un environnement MDT avec les dernières versions de Windows ADK et MDT, mais j'ai dû faire face à de nombreux problèmes qui ont nécessité un dépannage important. Dans ce billet, je vais donc décrire les défis que j'ai rencontrés lors de la construction de cet environnement MDT. Dans cette article, on va voir comment en 2023, on peut encore utiliser MDT avec l'ADK de Windows 11. Les ressources necessaires pour réaliser vos tests Voici machines virtuelles qui ont été utilisées pour construire et tester l'environnement MDT : Système d'exploitation vCPU vMEM vDisk Bios ...
Lire la suite