blog.andreas-schreiner.de

Wissen ist Macht. Nichts wissen macht nichts.

Expiration Date bei User Accounts einer OU setzen

von · Veröffentlicht · Aktualisiert

Aus Sicherheitsgründen habe ich für einen Kunden ein System implementiert, in dem jährlich die Ablaufdaten der privilegierten Service Accounts auf den 31.12. des jeweiligen Jahres gesetzt wird, um sicherzustellen, dass nicht benötigte Service Accounts verwendet werden können. Service Accounts, die über den 31.12. des Jahres hinaus benötigt werden, müssen von den jeweiligen Fachabteilungen rechtzeitig an die IT gemeldet werden, um das Ablaufdatum wieder zu entfernen.

Da sich solche Accounts i.d.R. in einer eigenen, abgesicherten OU befinden, setzt folgendes Script das Ablaufdatum für alle Accounts in der OU Service-Accounts der Domain lab.local.

Import-Module ActiveDirectory
Get-ADUser -ResultSetSize 10000 -SearchBase "OU=Service-Accounts,DC=lab,DC=local" -Filter * | Set-ADAccountExpiration -DateTime "12/31/2018"

Mit folgendem Befehl verifiziert man im Anschluss die Änderung:

Get-ADUser -SearchBase "OU=Service-Accounts,DC=lab,DC=local" -Filter * -Properties sAMAccountName,AccountExpirationDate

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.