Как проверить, заблокирована ли учетная запись AD?

Я хочу знать, можно ли проверить, заблокирована ли конкретная учетная запись AD.

Команда Get-ADUser не возвращает этот параметр:

 -------------------------- EXAMPLE 3 --------------------------

 Command Prompt: C:\PS>
 Get-ADUser GlenJohn -Properties * 


  - Surname : John 
  - Name : Glen John
  - UserPrincipalName : jglen
  - GivenName : Glen
  - Enabled : False
  - SamAccountName : GlenJohn
  - ObjectClass :
  - user SID :S-1-5-21-2889043008-4136710315-2444824263-3544
  - ObjectGUID :e1418d64-096c-4cb0-b903-ebb66562d99d
  - DistinguishedName : CN=Glen John,OU=NorthAmerica,OU=Sales,OU=UserAccounts,DC=FABRIKAM,DC=COM

 Description :
 -----------

 Get all properties of the user with samAccountName 'GlenJohn'.

 --------------------------END EXAMPLE --------------------------

Есть ли другой способ получить эту информацию?

Ответ 1

Свойство LockedOut - это то, что вы ищете среди всех свойств, которые вы вернули. Вы видите только неполный вывод в TechNet. Информация по-прежнему существует. Вы можете выделить это свойство с помощью Select-Object

Get-ADUser matt -Properties * | Select-Object LockedOut

LockedOut
---------
False

Ссылка, на которую вы ссылаетесь, не содержит эту информацию, которая явно вводит в заблуждение. Проверьте команду с помощью своей учетной записи, и вы увидите гораздо больше информации.

Примечание. Старайтесь избегать -Properties *. Хотя это отлично подходит для простого тестирования, он может делать запросы, особенно с несколькими учетными записями, излишне медленными. Итак, в этом случае, поскольку вам нужно только LockedOut:

Get-ADUser matt -Properties LockedOut | Select-Object LockedOut

Ответ 2

Вот еще один:

PS> Search-ADAccount -Locked | Select Name, LockedOut, LastLogonDate

Name                                       LockedOut LastLogonDate
----                                       --------- -------------
Yxxxxxxx                                        True 14/11/2014 10:19:20
Bxxxxxxx                                        True 18/11/2014 08:38:34
Administrator                                   True 03/11/2014 20:32:05

Другие параметры, которые стоит упомянуть:

Search-ADAccount -AccountExpired
Search-ADAccount -AccountDisabled
Search-ADAccount -AccountInactive

Get-Help Search-ADAccount -ShowWindow

Ответ 3

Я также нашел этот список флагов свойств: Как использовать флаги UserAccountControl

SCRIPT  0x0001  1
ACCOUNTDISABLE  0x0002  2
HOMEDIR_REQUIRED    0x0008  8
LOCKOUT 0x0010  16
PASSWD_NOTREQD  0x0020  32
PASSWD_CANT_CHANGE 0x0040   64
ENCRYPTED_TEXT_PWD_ALLOWED  0x0080  128
TEMP_DUPLICATE_ACCOUNT  0x0100  256
NORMAL_ACCOUNT  0x0200  512
INTERDOMAIN_TRUST_ACCOUNT   0x0800  2048
WORKSTATION_TRUST_ACCOUNT   0x1000  4096
SERVER_TRUST_ACCOUNT    0x2000  8192
DONT_EXPIRE_PASSWORD    0x10000 65536
MNS_LOGON_ACCOUNT   0x20000 131072
SMARTCARD_REQUIRED  0x40000 262144
TRUSTED_FOR_DELEGATION  0x80000 524288
NOT_DELEGATED   0x100000    1048576
USE_DES_KEY_ONLY    0x200000    2097152
DONT_REQ_PREAUTH    0x400000    4194304
PASSWORD_EXPIRED    0x800000    8388608
TRUSTED_TO_AUTH_FOR_DELEGATION  0x1000000   16777216
PARTIAL_SECRETS_ACCOUNT 0x04000000      67108864

Вы должны сделать двоичный-И свойства userAccountControl с 0x002. Чтобы получить все заблокированные (то есть отключенные) учетные записи, вы можете фильтровать по этому адресу:

(&(objectClass=user)(userAccountControl:1.2.840.113556.1.4.803:=2))

Для оператора 1.2.840.113556.1.4.803 см. Правила соответствия LDAP

Ответ 4

Эта гостевая публикация ScriptingGuy содержит ссылки на сценарий от эксперта Microsoft Powershell, который может помочь вам найти эту информацию, но для полной проверки того, почему она была заблокирована и какая машина активировала блокировку, вам, вероятно, потребуется включить дополнительные уровни аудита через объект групповой политики.

https://gallery.technet.microsoft.com/scriptcenter/Get-LockedOutLocation-b2fd0cab#content

Ответ 5

Если вы хотите проверить через командную строку, используйте команду "net user username/DOMAIN"