ادمین Active Directory باید بصورت دوره ای یک سرکشی روی اکانتهای ایجاد شده در اکتیودایرکتوری داشته باشد و اگر اکانتی برای مدت طولانی یا مدت شخصی از آن استفاده نمی شود را غیرفعال کند. از حساب های غیرفعال نمی توان برای لاگین به سیستم استفاده کرد حتی اگر کاربر رمز عبور آن Username را بداند و حتی اگر کاربر Expire نشده باشد. در هر صورت اگر کاربر Disable باشد امکان لاگین با آن کاربر به سیستم هایی که تحت آن دامین هستند غیرممکن است تا مادامیکه یوزر دوباره فعال شود.


به راحتی می توانید از طریق کنسول Active Directory Users & Computers اقدام بع غیرفعال کردن کاربر کنید. کافیست User مورد نظرتان را یافته و روی آن کلیک راست کرده و گزینه Disable Account را کلیک کنید.





یا اینکه می توانید از User مورد نظر در کنسول فوق Properties بگیرید و سپس در تب Account مانند تصویر زیر تیک گزینه Account is disabled را فعال کنید.



ولی فقط از طریق GUI یا گرافیکی نیست که می توانید این اقدامات را انجام دهید. از طریق دستورات پاورشل هم به راحتی می توانید اقدام به اینکار کنید و. در این خصوص از cmdlet ای با نام Disable-ADAccount استفاده خواهیم کرد.
برای این منظور Server manager را باز کرده و از منوی Tools گزینه Powershell را کلیک کنید که در این صورا دستور زیر را نیازی نیست در آن وارد کنید. اگر پاورشل را از منوی استارت ویندوز باز کنید، باید دستور زیر برای نصب ماژول اکتیودایرکتوری در ویندوز وارد کنید.

Import-Module ActiveDirectory

بعنوان مثال برای غیرفعال کردن کاربری با نام jbrion از دستور زیر می توانید استفاده کنید:

Disable-ADAccount -Identity jbrion

حال برای بررسی کردن وضعیت یک کاربر(اینکه کاربر فعال یا غیرفعال است) از دستور زیر استفاده می کنیم:

Get-ADUser jbrion |select name,enabled

از دستور Disable-ADAccount برای غیرفعال کردن User، اکانت های کامپیوتر و سرویس در domain می توانید استفاده کنید. برای فعال کردن کاربر اکتیودایرکتوری در پاورشل، هم از دستور زیر استفاده می کنیم:

Get-ADUser jbrion | Enable-ADAccount

برای غیرفعال کردن تمام اکانت های کامپیوتری در یک OU خاص از دستور زیر استفاده کنید:

Get-ADUser -Filter 'Name -like "*"' -SearchBase "OU=Laptops,OU=NY,OU=USA,DC=theitbros,DC=com" | Disable-ADAccount

مسیر OU مورد نظرتان و همچنین دامین خود را جایگزین مقادیر فوق کنید و دستور را در پاورشل اجرا کنید تا همه اکانتهای کامپیوتری در آن OU بخصوص غیرفعال شوند.
شما با کمک دستور Search-ADAccount می توانید به صورت یکجا تعدادی زیادی اکانت را غیرفعال کنید. بای مثال در اسکریپت زیر تمامی User هایی که به مدت 90 روز از آخرین لاگین آنها می گذرد را می توانید غیرفعال کنید:

$timespan = New-Timespan -Days 90



Search-ADAccount -UsersOnly -AccountInactive -TimeSpan $timespan | Disable-ADAccount