خوش آموز درخت تو گر بار دانش بگیرد، به زیر آوری چرخ نیلوفری را
یافتن اکانتهای disabled شده در اکتیودایرکتوری
به عنوان شخصی که مسئولیت ادمین شبکه را به عهده دارید باید زمانی را برای یافتن اکانتهای غیرفعال در اکتیودایرکتوری اختصاص دهید. پیشنهاد نمی شود که اکانتهای غیرفعال را حذف کنید(البته اگر حذف هم کنید اتفاق بدی رخ نمی دهد) بلکه می توانید یک ou جدا در دیتابیس اکتیودایرکتوری ایجاد کرده و Account های غیرفعال را در آن move کنید. ما می خواهیم این اکانتهای غیرفعال را که در ou های مختلف قرار دارند را بیابیم که این کار را با چند روش انجام خواهیم داد.
سپس از نوار ابزار قسمت بالایی فرم، دکمه find را کلیک کنید تا کادر جستجو باز شود.
از کامبوباکس Find، گزینه Common Queries را انتخاب کرده و از کامبوباکس in هم گزینه Entire directory را انتخاب کنید. سپس تیک گزینه Disabled accounts را فعال کرده و دکمه Find now را کلیک کنید.
بدین ترتیب لیست disabled accounts ها یا امانتهای غیرفعال موجود در دیتابیس اکتیودایرکتوری لیست می شود که در سطح سازمانی ممکن است نتایج جستجو بسیار بیشتر از چیزی باشد که در تصویر فوق مشاهده می کنید.
در فیلد name، یک نام به این کوئری اختصاص دهید و دکمه Define Query را کلیک کنید.
از کامبوباکس Find در فرم باز شده هم گزینه Common Queries را انتخاب کرده و تیک گزینه Disable Accounts را فعال و ok کنید.
کادر مربوط به query string، اکنون باید با کوئری مربوط به LDAP پر شده باشد. اکنون فرم را ok کنید.
حال در قسمت Saved Querie، روی کوئری ای که ایجاد کرده اید کلیک کنید. ما در این مثال نام کوئری خود را Disabled users قرار دادیم.
بدین ترتیب لیست کابران غیرفعال موجود در اکتیودایرکتوری نمایش داده می شود. این کوئری برای همیشه می تواند برای این مورد کار کند(چون در اکتیودایرکتوری ذخیره می ماند). هر بار که اکانت دیگری را غیرفعال کنید، این کوئری بصورت خودکار آن اکانت را هم در نتایج جستجوی خود اضافه می کند.
پس Powershell را در ویندوز باز کنید و دستور زیر را در آن وارد و Enter کنید:
خروجی این دستور علاوه بر username، سایر attributes های مربوط به کاربران غیرفعال در اکتیودایرکتوری را لیست می کند.
اگر به فیلد Distinguished name دقت کنید، دقیقا ou ای که این کاربر در آن قرار دارد هم می توانید مشاهده کنید.
اما با بکارگیری command زیر، فقط username های مربوط به disabled accounts ها را خروجی خواهید گرفت و اطلاعات اضافی که شاید به آنها نیاز نداشته باشید، در خروجی دستور قرار نمی گیرد.
بدین ترتیب با این سه روش می توانید اکانتهایی که در اکتیودایرکتوری غیرفعال هستند را بیابید.
شما می توانید با جستجوها در دیتابیس اکتیودایرکتوری،به عنوان مثال اقدام به یافتن کاربرانی که days since last logon آنها 90 روز گذشته کنید و سپس آنها را غیرفعال کنید. خب کاربرانی که این مدت از آخرین لاگین انها گذشته است، بهتر است که غیرفعال شوند و این بدان معنی است که این کاربران یا به شعبات دیگر انتقال داده شده اند و یا از سازمان شما منفک شده اند که نیازی به اکتیو ماندن اکانت انها نیست و می توانید آنها را غیرفعال کنید.
Method 1: Find Common Queries
پنجره را باز کرده و دستور dsa.msc را وارد و Enter کنید تا کنسول Active Directory Users and Computer باز شود.سپس از نوار ابزار قسمت بالایی فرم، دکمه find را کلیک کنید تا کادر جستجو باز شود.
از کامبوباکس Find، گزینه Common Queries را انتخاب کرده و از کامبوباکس in هم گزینه Entire directory را انتخاب کنید. سپس تیک گزینه Disabled accounts را فعال کرده و دکمه Find now را کلیک کنید.
بدین ترتیب لیست disabled accounts ها یا امانتهای غیرفعال موجود در دیتابیس اکتیودایرکتوری لیست می شود که در سطح سازمانی ممکن است نتایج جستجو بسیار بیشتر از چیزی باشد که در تصویر فوق مشاهده می کنید.
Method 2: Saved Queries
saved queries در کنسول Active Directory Users and Computers، می تواند برای ایجاد فیلترهای جستجو ساده و پیچیده LDAP استفاده شود. پس در همین کنسول Active Directory Users and Computers، روی فولدر Saved Queries کلیک راست کرده و از New گزینه Query را انتخاب کنید.در فیلد name، یک نام به این کوئری اختصاص دهید و دکمه Define Query را کلیک کنید.
از کامبوباکس Find در فرم باز شده هم گزینه Common Queries را انتخاب کرده و تیک گزینه Disable Accounts را فعال و ok کنید.
کادر مربوط به query string، اکنون باید با کوئری مربوط به LDAP پر شده باشد. اکنون فرم را ok کنید.
حال در قسمت Saved Querie، روی کوئری ای که ایجاد کرده اید کلیک کنید. ما در این مثال نام کوئری خود را Disabled users قرار دادیم.
بدین ترتیب لیست کابران غیرفعال موجود در اکتیودایرکتوری نمایش داده می شود. این کوئری برای همیشه می تواند برای این مورد کار کند(چون در اکتیودایرکتوری ذخیره می ماند). هر بار که اکانت دیگری را غیرفعال کنید، این کوئری بصورت خودکار آن اکانت را هم در نتایج جستجوی خود اضافه می کند.
Method 3: Powershell
در روش سوم و آخرین روش از دستوراتPowerShell استفاده خواهیم کرد. خروجی این دستورات کمی متفاوت خواهد بود.پس Powershell را در ویندوز باز کنید و دستور زیر را در آن وارد و Enter کنید:
Search-ADAccount –AccountDisabled
خروجی این دستور علاوه بر username، سایر attributes های مربوط به کاربران غیرفعال در اکتیودایرکتوری را لیست می کند.
اگر به فیلد Distinguished name دقت کنید، دقیقا ou ای که این کاربر در آن قرار دارد هم می توانید مشاهده کنید.
اما با بکارگیری command زیر، فقط username های مربوط به disabled accounts ها را خروجی خواهید گرفت و اطلاعات اضافی که شاید به آنها نیاز نداشته باشید، در خروجی دستور قرار نمی گیرد.
Get-ADUser -Filter {Enabled -eq $false} | FT samAccountName
بدین ترتیب با این سه روش می توانید اکانتهایی که در اکتیودایرکتوری غیرفعال هستند را بیابید.
شما می توانید با جستجوها در دیتابیس اکتیودایرکتوری،به عنوان مثال اقدام به یافتن کاربرانی که days since last logon آنها 90 روز گذشته کنید و سپس آنها را غیرفعال کنید. خب کاربرانی که این مدت از آخرین لاگین انها گذشته است، بهتر است که غیرفعال شوند و این بدان معنی است که این کاربران یا به شعبات دیگر انتقال داده شده اند و یا از سازمان شما منفک شده اند که نیازی به اکتیو ماندن اکانت انها نیست و می توانید آنها را غیرفعال کنید.
نمایش دیدگاه ها (0 دیدگاه)
دیدگاه خود را ثبت کنید: