El administrador del Directorio Activo debe desactivar periódicamente las cuentas de usuario y de dominio de computadora que no se utilicen durante mucho tiempo. Las cuentas desactivadas no pueden utilizarse para iniciar sesión en el dominio, aunque el usuario conozca la contraseña de la cuenta y ésta no haya caducado.
Puede desactivar un usuario o una cuenta de ordenador en el Directorio Activo a través del snap-in gráfico de Usuarios y Ordenadores del Directorio Activo (ADUC ). Para ello, busca la cuenta de usuario en la consola, haz clic con el botón derecho del ratón sobre ella y selecciona Disable Account .
O bien, puede abrir las propiedades del usuario y activar la opción «La cuenta está desactivada» en la sección «Opciones de la cuenta» de la pestaña «Cuenta».
También puede desactivar la cuenta de Active Directory utilizando el cmdlet de PowerShell Disable-ADAccount .
Instale el Directorio activo para Windows PowerShell e impórtelo en la sesión de PS con el comando:
Módulo de importación ActiveDirectory
Para desactivar la cuenta de usuario de jbrion, ejecute el comando:
Disable-ADAccount -Identidad jbrion
Para solicitar la confirmación de la desactivación de la cuenta, puede añadir el parámetro -Confirm .
Comprueba que la cuenta está desactivada ahora (Activada = Falso):
Get-ADUser jbrion |seleccionar nombre, habilitado
Puede utilizar el cmdlet Disable-ADAccount para desactivar tanto la computadora como la cuenta de usuario o de servicio del dominio. Los siguientes parámetros del objeto AD pueden especificarse como un argumento -Identidad :
- Nombre Distinguido
- GUID (objectGUID)
- objectSid
- sAMNombreDeCuenta
Pista. Para habilitar una cuenta, use el comando: Get-ADUser jbrion | Enable-ADAccount
LEER TAMBIÉN Usando DCPromo para promover los controladores de dominio AD
Para desactivar todas las cuentas de computadora en un OU específico:
Get-ADUser -Filtro $0027Name -like "*"$0027 -SearchBase "OU=Laptops,OU=NY,OU=USA,DC=theitbros,DC=com" | Disable-ADAccount
Para encontrar todas las cuentas de ordenador deshabilitadas en el dominio, usa el comando:
Buscar-Cuenta-Activada -CuentaDesactivada -SóloComputadoras|seleccionar Nombre,ApellidoFecha,Activado
Para mostrar la lista de cuentas de usuario:
Pista. Puedes leer más sobre el servicio especial de la cuenta de AD krbtgt .
Con PowerShell, puedes deshabilitar múltiples cuentas de AD. Para ello, cree un archivo de texto con una lista de las cuentas de usuario que desea deshabilitar. A continuación, puede deshabilitar todas las cuentas de usuario del archivo de texto mediante el siguiente script de PowerShell:
$users=Get-Content c:psusers.txt Para cada uno ($usuario en $usuarios) { Disable-ADAccount -Identidad $($usuario.nombre) } Del mismo modo, puede desactivar las cuentas de la computadora: $computadoras= Get-Content c:pscomputadoras.txt ForEach ($computadora en $computadoras) { Disable-ADAccount -Identidad "$($computer.name)$" }
Con el cmdlet Search-ADAccount, puede encontrar todas las cuentas inactivas del dominio y desactivarlas de una vez. Por ejemplo, desea deshabilitar todos los usuarios que no han iniciado sesión en el dominio durante más de 3 meses.
$timespan = New-Timespan -Days 90 Search-ADAccount -UsersOnly -AccountInactive -TimeSpan $timespan | Disable-ADAccount