我尝试使用 Powershell 审核已禁用的 AD 用户帐户,但得到的结果与 GUI 中显示的结果不匹配Active Directory Users and Computers。
DC 是Windows server 2012R2Powershell 版本4.0。
这仅列出了 GUI 中标记为已禁用的少数用户:
Get-ADUser -Filter 'enabled -eq $false' |Select-Object -Property Samaccountname
这列出了与上一个命令相同的用户:
Search-ADAccount -AccountDisabled |Select-Object |FT SamaccountName,ObjectClass
这列出了 GUI 中标记为已禁用的许多用户:
Get-ADUser -Filter 'enabled -eq $true' |Select-Object -Property Samaccountname
用户帐户已通过以下方式禁用:Directory Users and Computers右键单击用户对象并选择Disable account。
Powershell 命令是在使用 GUI 禁用帐户的同一 DC 上发出的。从帐户被禁用到发出 Powershell 命令之间间隔了好几天。
我使用的 Powershell 命令是否存在问题,或者disabledGUI 和 Powershell 是否意味着不同?
答案1
您的搜索查询是正确的,它们应该返回所有(且仅)实际被禁用的用户帐户;如果我不得不猜测,我会指出您的域控制器之间的复制问题。
请注意在 DC 上运行 ADUC 或 PowerShell 与实际针对该 DC 执行 LDAP 查询不同; ADUC 控制台可以绑定到任何 DC(您可以通过右键单击左窗格中的顶级节点手动重新定位它),PowerShell 也可以执行相同操作(您可以使用参数手动指定要使用的 DC -Server)。如果您登录的 DC 无法正常工作,则尤其如此,在这种情况下,所有 AD 管理工具都可以并且将连接到另一个 DC。