1.2K
Los usuarios inactivos y las cuentas de dominio de la computadora que no se han utilizado durante mucho tiempo deben ser deshabilitados periódicamente por un administrador de Active Directory. Las cuentas deshabilitadas no se pueden usar para iniciar sesión en el dominio, incluso si el usuario conoce la contraseña de la cuenta y no ha caducado.
Deshabilitar la cuenta de usuario usando usuarios y computadoras de Active Directory
Puede deshabilitar una cuenta de usuario o computadora en Active Directory a través del complemento Usuarios y computadoras de Active Directory (ADUC). Para hacer esto, busque la cuenta de usuario en la consola, haga clic derecho sobre ella y seleccione Deshabilitar cuenta.
O puede abrir las propiedades del usuario y habilitar la opción «La cuenta está deshabilitada» en la sección «Opciones de la cuenta» en la pestaña «Cuenta».
Puede delegar los permisos administrativos para habilitar/deshabilitar cuentas en Active Directory para un grupo de seguridad específico de usuarios, como HelpdeskTeam.
Haga clic con el botón derecho en la consola ADUC en la unidad organizativa a la que desea delegar permisos. Seleccionar Control delegado.
Especifique el nombre del grupo al que desea delegar permisos (por ejemplo, US_HepldeskTeam). Luego seleccione Crear una tarea personalizada para delegar > seleccionar Objetos de usuario > seleccionar Específico de la propiedad permisos: Escribir control de cuenta de usuario.
Guarde sus cambios. Su grupo de usuarios que no son administradores ahora podrá habilitar o deshabilitar una cuenta de usuario en una unidad organizativa específica.
¿Cómo deshabilitar el objeto de Active Directory con PowerShell?
También puede deshabilitar las cuentas de Active Directory mediante el cmdlet de PowerShell Disable-ADAccount.
Instale el módulo PowerShell Active Directory e impórtelo a la sesión de PS con el comando:
Import-Module ActiveDirectory
Para deshabilitar la cuenta de usuario de jbrion, ejecute el comando:
Disable-ADAccount -Identity jbrion
Puedes agregar el -Confirmar parámetro para solicitar confirmación antes de deshabilitar una cuenta.
Compruebe si la cuenta está deshabilitada ahora (Habilitado = Falso):
Get-ADUser jbrion |select name,enabled
Puede usar el cmdlet Disable-ADAccount para deshabilitar tanto la computadora como el usuario o la cuenta de servicio en el dominio. Los siguientes atributos del objeto AD se pueden especificar como el argumento -Identity:
Pista. Para habilitar una cuenta, use el comando:
Get-ADUser jbrion | Enable-ADAccount
Si desea deshabilitar una cuenta de computadora en lugar de una cuenta de usuario, debe agregar un signo de dólar al final del nombre de la computadora. Por ejemplo, el siguiente comando de PowerShell deshabilita la cuenta de la computadora llamada la-wks21:
Disable-ADAccount -Identity la-wks21$
Para habilitar una cuenta de computadora en AD:
Enable-ADAccount -Identity la-wks21$
Nota. También puede deshabilitar o habilitar un usuario de Active Directory en un controlador de dominio desde la línea de comando:
net user j.brion /active:no
Consultar estado de usuario:
net user j.brion
Cuenta activa No
Habilitar la cuenta de usuario:
net user j.brion /active:yes
O use la utilidad dsmod.exe incorporada (debe especificar el nombre distinguido del usuario):
dsmod.exe user "CN=John Brion,OU=Users,OU=NewYork,OU=US,DC=contoso,DC=com" -disabled no
Deshabilitar varias cuentas de Active Directory
Para deshabilitar todas las cuentas de usuario en una unidad organizativa específica:
Get-ADUser -Filter 'Name -like "*"' -SearchBase "OU=Laptops,OU=NY,OU=USA,DC=theitbros,DC=com" | Disable-ADAccount
Puede encontrar todas las cuentas de computadora deshabilitadas en el dominio, use el comando:
Search-ADAccount -AccountDisabled -ComputersOnly|select Name,LastLogonDate,Enabled
Para mostrar una lista de cuentas de usuario deshabilitadas:
Encuentre usuarios inactivos que no hayan iniciado sesión en el dominio durante más de 6 meses y desactívelos:
$LastLogonDate= (Get-Date).AddDays(-180) Get-ADUser -Properties LastLogonTimeStamp -Filter {LastLogonTimeStamp -lt $LastLogonDate }| Disable-ADAccount
Puede usar PowerShell para deshabilitar varias cuentas de AD a la vez. Para ello, cree un archivo de texto sin formato con una lista de las cuentas de usuario que desea desactivar. Luego, puede deshabilitar todas las cuentas de usuario del archivo txt usando el siguiente script de PowerShell:
$users=Get-Content c:psusers.txt ForEach ($user in $users) { Disable-ADAccount -Identity $($user.name) }
Del mismo modo, puede deshabilitar las cuentas de la computadora:
$computers= Get-Content c:pscomputers.txt ForEach ($computer in $computers) { Disable-ADAccount -Identity "$($computer.name)$" }
Search-ADAccount le permite encontrar todas las cuentas inactivas en el dominio y deshabilitarlas todas a la vez. Por ejemplo, es posible que desee deshabilitar a todos los usuarios que no hayan iniciado sesión en el dominio durante más de 3 meses:
$timespan = New-Timespan -Days 90 Search-ADAccount -UsersOnly -AccountInactive -TimeSpan $timespan | Disable-ADAccount
Puede usar PowerShell para automatizar la desactivación de cuentas de usuario en un dominio. Cree un archivo CSV simple ADUserList.csv con la siguiente estructura plana:
"Username","Date","Enabled" "b.jackson","12/24/2021","False" "jsmith","10/11/2022","False" "m.brion","03/12/2021","False"
En este archivo, establezca los nombres de usuario y las fechas en las que sus cuentas deben desactivarse. Cree el siguiente script de PowerShell auto_disable_users.ps1 con el código:
Import-module ActiveDirectory $users=Import-csv -Path "c:psADUserList.csv" foreach ($user in $users) { if ((get-date) -ge $user.DateDate) { if ($user.enabled -eq "False"){Set-ADUser -Identity $user.username -Enabled $false} } }
Este script deshabilitará automáticamente las cuentas de usuario después de la fecha especificada. Cree un trabajo del Programador de tareas para ejecutar este script diariamente en el controlador de dominio.
También puede deshabilitar varias cuentas a la vez usando la consola ADUC. Expanda la unidad organizativa de Active Directory donde se encuentra la cuenta. Seleccione varias cuentas manteniendo presionada la tecla CTRL, haga clic derecho y seleccione Deshabilitar cuenta.
Si desea deshabilitar varias cuentas desde la consola gráfica de ADUC, pero están en unidades organizativas diferentes, puede inflar su estructura de Active Directory mediante la consulta guardada de AD.
Selecciona el Consultas guardadas en la consola ADUC y cree una nueva Consulta.
Cree una consulta para seleccionar objetos de AD. En este ejemplo, usamos una consulta simple para seleccionar todos los usuarios que tienen «theitbros» en su campo Organización.
Seleccionar Definir consulta > Encontrar > Búsqueda personalizada. Utilice la siguiente consulta LDAP para buscar usuarios con un valor específico en el atributo Empresa.
(&(objectcategory=person)(objectclass=user)(!userAccountControl:1.2.840.113556.1.4.803:=2)(company=theitbros))
Haga clic en el botón Aceptar para guardar la consulta. Luego busque y seleccione su consulta en Consultas guardadas. presione el F5 tecla para actualizar los resultados de la búsqueda. Como resultado, aparecerá en la ventana una lista de cuentas que coinciden con sus solicitudes.
Seleccione las cuentas de usuario (CTRL + A o utilice las teclas CTRL/Shift) y haga clic en Deshabilitar cuenta.
¿Cuál es la diferencia entre cuentas de usuario deshabilitadas, caducadas y bloqueadas?
En Active Directory, una cuenta de usuario puede tener diferentes estados, determinados por el Control de cuentas del usuario valor de atributo (es una máscara de bits de los valores de Opciones de cuenta en las propiedades de usuario de AD).
Algunos de los estados del usuario pueden ser la razón por la que el usuario no puede iniciar sesión en el dominio:
- La cuenta está bloqueada;
- El usuario está deshabilitado;
- Cuenta expirada;
- El usuario está restringido a una hora o computadora específica para iniciar sesión.
Intentemos averiguar cuáles son las diferencias entre los usuarios deshabilitados, vencidos y bloqueados en AD.
Si la cuenta de usuario está deshabilitada, entonces el Cuenta deshabilitada El atributo debe estar habilitado en sus propiedades. En este caso, se produce un error cuando un usuario intenta iniciar sesión:
Su cuenta ha sido deshabilitada. Consulte al administrador de su sistema.
La única forma de habilitar o deshabilitar una cuenta de usuario es hacerlo manualmente o mediante scripts. Esto lo puede hacer un administrador de dominio o un usuario al que se le hayan delegado los permisos apropiados.
Después de varios intentos de autenticación con una contraseña incorrecta, la cuenta de usuario se bloquea. La política de bloqueo de cuenta del dominio determina el número de intentos y el tiempo de bloqueo.
La cuenta de usuario se desbloquea sola con el tiempo, o el administrador puede eliminar el bloqueo.
Si su cuenta está bloqueada, recibirá el siguiente mensaje de error cuando intente iniciar sesión en Windows:
La cuenta a la que se hace referencia actualmente está bloqueada y no se puede iniciar sesión.
Si el administrador ha restringido los tiempos de inicio de sesión o la lista de equipos en los que el usuario puede iniciar sesión en las propiedades del usuario:
El administrador del sistema ha limitado las computadoras en las que puede iniciar sesión.
O:
Las restricciones de la cuenta impiden que este usuario inicie sesión.
Estas configuraciones de restricción de inicio de sesión son configuradas por el administrador en el Horas de inicio de sesión y Ingrese a atributos en las propiedades del usuario en AD.
Si se especifica una fecha de vencimiento para la cuenta en las propiedades del usuario de AD, el usuario no podrá iniciar sesión en el dominio después de esa fecha con un error:
La cuenta de usuario ha caducado
El administrador debe ampliar manualmente la fecha de caducidad de la cuenta o establecer la opción Caducidad de la cuenta en Nunca.
El vencimiento de la cuenta generalmente se establece para los empleadores que necesitan acceder al dominio durante el período del contrato.