Je größer ein Active Directory wird, desto unübersichtlicher wird es. Besonders bei Domänen, die mehrere hundert oder tausend AD-Konten verwalten, passiert es, das zahlreiche deaktivierte AD-Konten existieren. Aus diesem Grund ist es ratsam, sich von Zeit zu Zeit einen Überblick zu verschaffen, welche Active Directory Konten deaktiviert sind, um diese dann evtl. auch endgültig zu löschen.

Deaktivierte AD-Konten per PowerShell abfragen

Für diesen Vorgang eignet sich die PowerShell wieder hervorragend. Wir haben ja in der Vergangenheit schon oftmals über ähnliche PowerShell Abfragen berichtet, eine Auflistung der nützlichsten PowerShell Abfragen in Verbindung mit einer Active Directory Domäne findet Ihr am Ende dieses Beitrages.

Um nun eine Auflistung der deaktivieren AD-User zu erhalten, müsst Ihr einfach in einer PowerShell Konsole folgenden Befehl absetzen.

Search-ADAccount –AccountDisabled -UsersOnly | Select -Property Name,DistinguishedName

Dies listet dann einfach alle deaktivieren Konten auf, wie Ihr hier nachfolgend auf der Abbildung sehen könnt.

Search-ADAccount –AccountDisabled -UsersOnly | Select -Property Name,DistinguishedName

In der Auflistung der deaktivierten AD-Konten wird der AD-Kontoname und der „DistinguishedName“ angezeigt. Gerade bei großen Netzwerken kann diese Auflistung natürlich sehr lang sein und es macht dann eher Sinn, das Ergebnis in eine Textdatei oder CSV Datei zu exportieren. In diesem Fall müsst Ihr noch ein paar Parameter an den „Search-ADAccount“ Befehl anhängen. Der vollständige Befehl lautet dann z.B. wie folgt.

Search-ADAccount –AccountDisabled -UsersOnly | Select -Property Name,DistinguishedName | Export-CSV “C:\Temp\DeaktivierteUser.csv” -NoTypeInformation -Encoding UTF8

In diesem Beispiel ist es eine CSV-Datei, die Ihr einfach im „Notepad“ (jetzt mit Dark Mode) bearbeiten oder in Excel importieren könnt.

Wie bereits oben angekündigt hier nachfolgend eine Auflistung weiterer PowerShell Befehle für das Active Directory.

– Mitglieder einer AD Gruppe per PowerShell abfragen
– Anzahl der AD (Active Directory) Objekte zählen per PowerShell
– LastLogon (Letzter Login) eines Users im AD feststellen per Get-ADUser
– AD Userkonten auflisten die einen Profilpfad eingetragen haben
– Benutzerkonto deaktivieren unter Windows 10
– Feststellen, welcher AD User sich noch nie angemeldet hat
– Liste aller XP PC´s im AD (Active Directory) erstellen

Empfohlene Beiträge