通过 GUI 禁用的 AD 用户在 Powershell 中显示为已启用

通过 GUI 禁用的 AD 用户在 Powershell 中显示为已启用

我尝试使用 Powershell 审核已禁用的 AD 用户帐户,但得到的结果与 GUI 中显示的结果不匹配Active Directory Users and Computers

DC 是Windows server 2012R2Powershell 版本4.0

这仅列出了 GUI 中标记为已禁用的少数用户:

Get-ADUser -Filter 'enabled -eq $false' |Select-Object -Property Samaccountname

这列出了与上一个命令相同的用户:

Search-ADAccount -AccountDisabled |Select-Object |FT SamaccountName,ObjectClass

这列出了 GUI 中标记为已禁用的许多用户:

Get-ADUser -Filter 'enabled -eq $true' |Select-Object -Property Samaccountname

用户帐户已通过以下方式禁用:Directory Users and Computers右键单击用户对象并选择Disable account

Powershell 命令是在使用 GUI 禁用帐户的同一 DC 上发出的。从帐户被禁用到发出 Powershell 命令之间间隔了好几天。

我使用的 Powershell 命令是否存在问题,或者disabledGUI 和 Powershell 是否意味着不同?

答案1

您的搜索查询是正确的,它们应该返回所有(且仅)实际被禁用的用户帐户;如果我不得不猜测,我会指出您的域控制器之间的复制问题。

请注意在 DC 上运行 ADUC 或 PowerShell 与实际针对该 DC 执行 LDAP 查询不同; ADUC 控制台可以绑定到任何 DC(您可以通过右键单击左窗格中的顶级节点手动重新定位它),PowerShell 也可以执行相同操作(您可以使用参数手动指定要使用的 DC -Server)。如果您登录的 DC 无法正常工作,则尤其如此,在这种情况下,所有 AD 管理工具都可以并且将连接到另一个 DC。

相关内容