27.07.2022

Как управлять учетными записями пользователей в Active Directory. Часть 4: Как найти заблокированные учетные записи и разблокировать их

Пользовательские учетные записи одни из самых популярных объектов в AD. Они нужны для аутентификации и авторизации на рабочих компьютерах и во многих сервисах, интегрированных с AD. Решение различных проблем связанных с УЗ пользователей, а также управление ими является одной из главных рутин для администраторов и специалистов хелпдеска. Данное руководство поможет вам сделать это несколькими способами. Чтобы управлять УЗ пользователей, необходимо войти на контроллер домена или сервер или устройство с установленными средствами удаленного администрирования сервера (RSAT) для Active Directory Domain Services.

 

Для того, чтобы не было ошибок доступа нам нужен аккаунт администратора домена или группы операторов учетных записей (Account Operators group) или нам нужна УЗ, которая делегирована на создание пользовательских объектов в домене или в нужной нам организационной единице (OU), которую мы будем использовать для хранения аккаунтов.

Как найти заблокированные учетные записи пользователей

Учетные записи пользователей могут быть по какой-то причине заблокированы, и вам нужно устранить причину блокировки учетной записи, но сначала вам нужно получить список заблокированных пользователей. Есть несколько способов получить такой список.

Поиск заблокированных учетных записей пользователей с помощью Active Directory Administrative Center

Запустите Active Directory Administrative Center (dsac.exe). Выберите OU или контейнер, в котором вы хотите найти заблокированных пользователей. Разверните верхнюю панель, нажав на кнопку со стрелкой в правом верхнем углу.

Нажмите на кнопку Add criteria и выберите критерий Users with enabled but locked accounts (Пользователи с включенными, но заблокированными учетными записями). Нажмите Add, и заблокированные учетные записи будут отображены.

Поиск заблокированных учетных записей пользователей с помощью Windows PowerShell

Чтобы найти заблокированные учетные записи в AD, используйте следующий PowerShell скрипт:

Import-Module ActiveDirectory
Search-ADAccount -LockedOut -UsersOnly | Format-Table Name,LockedOut -AutoSize

Как разблокировать учетную запись пользователя

Блокировка учетной записи - один из самых частых случаев, с которым сталкиваются системные администраторы в организациях. Иногда трудно установить ее причину, поэтому требуется глубокое расследование. Но это не повод отключать политику блокировки учетных записей, поскольку она помогает защитить учетные записи пользователей от брутфорс атак. В этом руководстве мы рассмотрим простые методы разблокировки пользователей.

Разблокирование учетных записей пользователей через Active Directory Administrative Center

Чтобы разблокировать объект пользователя, откройте Active Directory Administrative Center (dsac.exe), перейдите к OU или контейнеру, в котором содержатся пользователи. Щелкните правой кнопкой мыши на пользователя, которого вы хотите разблокировать, и выберите Properties. В появившемся окне нажмите Unlock account (Разблокировать учетную запись) и затем OK.

Чтобы разблокировать все заблокированные учетные записи в определенном OU или контейнере, выберите OU или контейнер, в котором вы хотите найти заблокированных пользователей. Разверните верхнюю панель, нажав на кнопку со стрелкой в правом верхнем углу. Нажмите на кнопку Add criteria и выберите критерий Users with enabled but locked accounts (Пользователи с включенными, но заблокированными учетными записями). Нажмите Add, и заблокированные учетные записи отобразятся. Выберите все отображенные учетные записи, зайдите в свойства и нажмите Unlock account (Разблокировать учетную запись).

Разблокировка учетных записей пользователей с помощью Windows PowerShell

Чтобы разблокировать учетную запись пользователя, необходимо выполнить следующий код PowerShell:

Import-Module ActiveDirectory
Unlock-ADAccount -Identity "CN=User,CN=Users,DC=office,DC=local"

А для того, чтобы разблокировать все заблокированные учетные записи, используйте команду Search-ADAccount:

Import-Module ActiveDirectory
Search-ADAccount -LockedOut -UsersOnly | Unlock-ADAccount