如何查找禁用的 Active Directory 用户帐户

在本指南中，您将了解如何使用 PowerShell 和 GUI 工具在 Active Directory 中查找禁用的用户。

黑客或心怀不满的员工可以启用和使用禁用的用户帐户来访问网络。 了解如何快速查找已禁用的用户帐户可以提高安全性并有助于保持域的井井有条。

目录：

• 禁用用户帐户保留多长时间
• 方法一：使用GUI工具在AD中查找禁用用户
• 方法 2：使用 PowerShell 在 AD 中查找禁用用户

禁用用户帐户保留多长时间？

当 Active Directory 用户帐户被禁用时，它将保留在 Active Directory 中，直到管理员将其删除。禁用帐户通常会保留 30 到 90 天，然后才会被删除。这使得经理或新员工有时间从前任员工那里获取他们可能需要的任何文件或电子邮件。

保留禁用用户帐户的时间范围应由您的组织定义，因为员工帐户由其他系统（例如人力资源和工资单）使用。

作为 Active Directory 管理员，您应该有一个查找禁用和其他不活动用户帐户的过程。应根据您组织的政策禁用然后删除这些帐户。

方法一：使用GUI工具在AD中查找禁用用户

在此示例中，我将使用 Active Directory Pro Toolkit 获取已禁用用户帐户的列表。

1. 运行禁用用户报告

单击“报告”，然后在“帐户状态”下单击“禁用用户”。

接下来，单击运行按钮生成所有禁用用户的报告。

在上面的屏幕截图中，您可以看到该工具包生成了 Active Directory 中所有禁用用户的列表。通过单击浏览按钮，您可以轻松地将报告限制为 OU 或组。您还可以通过单击列按钮来添加和删除用户属性。

2. 出口报告

如果您需要导出报告，请单击导出按钮并选择 CSV、XLSX 或 PDF。

正如您所看到的，AD Pro Toolkit 可以非常快速、轻松地报告 Active Directory 中的用户帐户。您可以下载 AD Pro Toolkit 的免费试用版并在您的域中进行测试。

方法 2：使用 PowerShell 在 AD 中查找禁用用户

在此示例中，我将使用 Powershell 查找禁用的用户帐户。我将向您展示两个不同的 PowerShell 命令，它们显示的结果略有不同。

示例 1. 使用 PowerShell 获取所有禁用用户

Get-ADUser -Filter {Enabled -eq "False"}

此命令将列出整个域中所有禁用的用户。该命令不仅返回用户名，还返回许多其他属性。在大多数情况下，您只需要用户名。

示例 2：获取所有禁用用户和过滤器属性

Get-ADUser -Filter {Enabled -eq "False"} | select name, enabled

在此示例中，我们将过滤输出以仅显示用户的名称和帐户状态。

示例 3. 在 OU 中查找禁用用户

Get-ADUser -Filter * -SearchBase "OU=Accounting,OU=ADPRO Users,DC=ad,DC=activedirectorypro,DC=com" -Property Enabled | Where {$_.Enabled -like "False"} 

此命令将从特定 OU 获取所有禁用的用户。将 SearchBase 更改为要搜索的 OU 的 DN。

查找所有禁用用户的第三个选项是使用 ADUC 控制台。与 PowerShell 和 AD Pro Toolkit 相比，ADUC 控制台缺乏许多功能。

打开 ADUC 控制台，单击顶部栏中的查找对象按钮，然后将查找选项更改为“常见查询”。现在只需选择“禁用帐户”并单击立即查找。

您可以看到上面显示了禁用的用户，但没有其他可用的用户详细信息，也没有导出用户列表的选项。

概括

我向您展示了如何在 Active Directory 中查找禁用的用户帐户的两个示例。大多数组织都有一项政策，允许帐户在一段时间内禁用，例如 30 天。如果您没有适当的程序来返回并删除帐户，您的 Active Directory 将变得一团糟。这对于保持 AD 环境的安全和有序非常重要。