W większości przypadków, użytkownicy zapominają hasła do swoich kont lub wpisują je zbyt wiele razy i blokują się z powodu polityki blokowania kont Active Directory.
Niezbędną częścią każdego administratora systemu lub technika jest wiedza jak odblokować konto (lub wiele kont AD) za pomocą PowerShell.
Z narzędziami do zarządzania Active Directory GUI, można odblokować tylko jedno konto użytkownika na raz.
Narzędzie PowerShell pojawia się w obrazie, gdy trzeba zająć się lub odblokować wiele kont Active Directory jednocześnie. Z PowerShell, można łatwo odblokować jedno lub więcej kont użytkowników szybko i łatwo z linii poleceń!
W tym samouczku, pokażemy, jak odblokować konta użytkowników Active Directory z PowerShell.
Instalacja modułu Active Directory dla PowerShell
Przed rozpoczęciem, trzeba będzie zainstalować moduł Active Directory dla PowerShell w systemie.
Najpierw otwórz PowerShell i uruchom następujące polecenie, aby zainstalować moduł Active Directory dla PowerShell:
Add-WindowsFeature RSAT-AD-Powershell
Po zainstalowaniu powinieneś zobaczyć następujące dane wyjściowe:
Success Restart Needed Exit Code Feature Result
------- -------------- --------- --------------
True No NoChangeNeeded {}
Przykład:
PowerShell używa cmdleta Unlock-ADAccount do odblokowania kont użytkowników w katalogu aktywnym.
Przywraca dostęp do usług domeny Active Directory dla konta, które jest zablokowane.
Uruchom następujące polecenie, aby uzyskać więcej informacji na temat polecenia cmdlet Unlock-ADAccount:
Get-Help unlock-adaccount
Powinieneś zobaczyć następujące dane wyjściowe:
Find Lockout Status Of Active Directory User Account
Ważne jest, aby wiedzieć, które konto użytkownika Active Directory jest zablokowane, ponieważ ci użytkownicy w końcu zwrócą się do Ciebie o pomoc lub może to być oznaką nieudanego włamania.
Stan zablokowania dowolnego konta użytkownika można sprawdzić za pomocą polecenia Get-ADUser.
Na przykład sprawdź status blokady użytkownika hitesh i vyom, wykonując następujące polecenie:
Get-ADUser -Identity 'hitesh' -Properties LockedOut | Select-Object Name,Lockedout
Or
Get-ADUser -Identity 'vyom' -Properties LockedOut | Select-Object Name,Lockedout
W powyższym zrzucie ekranu powinieneś zobaczyć, że status blokady obu użytkowników to False, co oznacza, że konto nie jest zablokowane.
Znajdź wszystkie zablokowane konta użytkowników Active Directory
Aby znaleźć wszystkie zablokowane konta Active Directory, wykonaj następujące polecenie:
Search-ADAccount -lockedout | Select-Object Name, SamAccountName
Powinieneś otrzymać następujące dane wyjściowe:
Name SamAccountName
---- --------------
jayesh jayesh
rajesh rajesh
mitesh mitesh
Teraz odblokuj konto użytkownika o nazwie jayesh, wykonując następujące polecenie:
Unlock-ADAccount -Identity jayesh
Teraz sprawdź, czy użytkownik jest odblokowany, czy nie, wykonując następujące polecenie:
Search-ADAccount -lockedout | Select-Object Name, SamAccountName
Powinieneś otrzymać następujące wyjście:
Name SamAccountName
---- --------------
rajesh rajesh
mitesh mitesh
Przykład:
Unlock All Active Directory User Accounts
W tym momencie znaleźliśmy wszystkie konta w naszym AD, które są zablokowane.
Możesz odblokować wszystkie konta użytkowników jednocześnie, wykonując następujące polecenie:
Search-ADAccount -Lockedout | Unlock-AdAccount
Możesz sprawdzić, czy wszystkie konta są odblokowane, czy nie, wykonując następujące polecenie:
Search-ADAccount -lockedout | Select-Object Name, SamAccountName
Nie widzisz żadnego wyjścia, które oznacza, że wszystkie konta użytkowników są odblokowane.
Przykład:
Ask Confirmation Before Unlocking All Active Directory User Accounts
Dobrym pomysłem jest odblokowanie zablokowanych kont użytkowników z potwierdzeniem, dzięki czemu można odblokować tylko wymagane konta użytkowników.
Po pierwsze, znajdź wszystkie zablokowane konta użytkowników za pomocą następującego polecenia:
Search-ADAccount -lockedout | Select-Object Name, SamAccountName
Następnie odblokuj wszystkie zablokowane konta użytkowników z potwierdzeniem, wykonując następujące polecenie:
Search-ADAccount -Lockedout | Unlock-AdAccount -Confirm
Przed odblokowaniem wszystkich kont zostaniesz poproszony o potwierdzenie.
Możesz wpisać Y, aby potwierdzić pojedyncze konto i A, aby potwierdzić wszystkie konta, jak pokazano na poniższym ekranie:
Zakończenie
Jak widać, PowerShell jest bardzo potężnym narzędziem do szybkiego wykonywania operacji związanych z Active Directory. Pomaga on administratorom systemu szybko wykonywać zadania związane z Active Directory i okazał się niezbędną umiejętnością do opanowania jako administrator sieci!
Mamy nadzieję, że ten poradnik pomógł Ci dowiedzieć się, jak odblokować konta AD, zarówno pojedynczych użytkowników, jak i wielu (hurtowo) użytkowników jednocześnie!