Active-Directory

通過 GUI 禁用的 AD 使用者在 Powershell 中顯示為啟用

  • February 26, 2019

我嘗試使用 Powershell 來審核禁用的 AD 使用者帳戶,但我得到的結果與 GUI 中顯示的不匹配Active Directory Users and Computers

DC是Windows server 2012R2和Powershell版本4.0的。

這僅列出了在 GUI 中標記為禁用的少數使用者:

Get-ADUser -Filter 'enabled -eq $false' |Select-Object -Property Samaccountname

這列出了與上一個命令相同的使用者:

Search-ADAccount -AccountDisabled |Select-Object |FT SamaccountName,ObjectClass

這列出了許多在 GUI 中標記為禁用的使用者:

Get-ADUser -Filter 'enabled -eq $true' |Select-Object -Property Samaccountname

使用者帳戶已通過以下方式禁用:Directory Users and Computers右鍵點擊使用者對象並選擇Disable account

在使用 GUI 禁用帳戶的同一 DC 上發出的 Powershell 命令。帳戶被禁用和 Powershell 命令發出之間有幾天的時間。

我正在使用的 Powershell 命令是否存在問題,或者是否disabled意味著 GUI 和 Powershell 不同?

您的搜尋查詢是正確的,它們應該返回所有(且僅)實際禁用的使用者帳戶;如果我不得不猜測,我會指出您的域控制器之間的複制問題。

請注意,在 DC 上執行 ADUC 或 PowerShell 與針對該 DC 實際執行 LDAP 查詢不同;ADUC 控制台可以綁定到任何 DC(您可以通過右鍵點擊左窗格中的頂級節點手動重新定位它)並且 PowerShell 可以執行相同操作(您可以手動指定要與-Server參數一起使用的 DC)。如果您登錄的 DC 無法正常工作,則尤其如此,在這種情況下,所有 AD 管理工具都可以並且將連接到另一個。

引用自:https://serverfault.com/questions/955799