Question

我正在Richard L. Mueller处理一个脚本，以禁用我们AD中的非活动帐户。

Trap {"Error: $_"; Break;}

$D = [System.DirectoryServices.ActiveDirectory.Domain]::GetCurrentDomain()
$Domain = [ADSI]"LDAP://$D"
$Searcher = New-Object System.DirectoryServices.DirectorySearcher
$Searcher.PageSize = 200
$Searcher.SearchScope = "subtree"

$Searcher.Filter = "(&(objectCategory=person)(objectClass=user))"
$Searcher.PropertiesToLoad.Add("samAccountName") > $Null
$Searcher.PropertiesToLoad.Add("lastLogon") > $Null
$Searcher.PropertiesToLoad.Add("accountExpires") > $Null

# Create hash table of users and their last logon dates.
$arrUsers = @{}

# Enumerate all Domain Controllers.
ForEach ($DC In $D.DomainControllers)
    {
$Server = $DC.Name
$Searcher.SearchRoot = "LDAP://$Server/" + $Domain.distinguishedName

$Results = $Searcher.FindAll()
#$Results[100].Properties.item("samAccountName")
#$Results[100].Properties.item("lastlogon")
ForEach ($Result In $Results)
    {
        $DN = $Result.Properties.Item("samAccountName")
        $LL = $Result.Properties.Item("lastLogon")
        If ($LL.Count -eq 0)
        {
            $Last = [DateTime]0
        }
        Else
        {
            $Last = [DateTime]$LL.Item(0)
        }
        If ($Last -eq 0)
        {
            $LastLogon = $Last.AddYears(1600)
        }
        Else
        {
            $LastLogon = $Last.AddYears(1600).ToLocalTime()
        }
        If ($arrUsers.ContainsKey("$DN"))
        {
            If ($LastLogon -gt $arrUsers["$DN"])
            {
                $arrUsers["$DN"] = $LastLogon
            }
        }
        Else
        {
            $arrUsers.Add("$DN", $LastLogon)
        }
    }
}

现在我的AD用户的LastLogon日期最新。

然后我这样做：

Foreach ($ou in $searchRoot) {
$inactiveUsers += @(Get-QADUser -SearchRoot $ou -Enabled -PasswordNeverExpires:$false -CreatedBefore $creationCutoff -SizeLimit $sizeLimit | Select-Object Name,SamAccountName,LastLogonTimeStamp,Description,passwordneverexpires,canonicalName | Sort-Object Name)
}

我不使用它来禁用ID，因为LastLogonTimeStamp的延迟时间从9-14天更新。使用$ arrUsers中的真实最后登录日期，我想用它替换LastLogonTimeStamp。所以我想使用用户ID匹配它们：

Foreach ($inuser in $inactiveUsers) {
    If ($arrUsers.ContainsKey("$inuser.samAccountName"))
        {
        write-host "True"
        $inuser.LastLogonTimeStamp = $arrUsers["$inuser.samAccountName"]
        $inuser.LastLogonTimeStamp = $inuser.LastLogonTimeStamp.adddays(30)
        If ((Get-Date) -gt $inuser.LastLogonTimeStamp)
            {
            write-host $inuser.samAccountName "should be disabled"
            }
        Else
            {
            write-host $inuser.samAccountName "is still active"
            }

        }
    }
    Else
    {
    write-host "False"
    }

我这里有两个问题。

首先是＆＃34; If（$ arrUsers.ContainsKey（＆＃34; $ inuser.samAccountName＆＃34;））＆＃34;似乎不起作用。我总是得到一个错误的结果。
其次，使用＆＃34; $ inuser.LastLogonTimeStamp = $ arrUsers [＆＃34; $ inuser.samAccountName＆＃34;]＆＃34;替换LastLogonTimeStamp，我的LastLogonTimeStamp变为空白。

有人能提供一些助手吗？

Answer 1

您没有正确使用变量扩展。对象属性未展开，因此

"$inuser.samaccountname"

实际上是：

$inuser.ToString() + ".samaccountname"

要在字符串中展开表达式，必须用$()括起来，例如

"$($inuser.samaccountname)"

但是，在您的情况下，您甚至不需要这样做。完全不要引用引号：

$arrusers[$DN]
$arrusers.ContainsKey($inuser.samaccountname)

请参阅about_Quoting_Rules help topic for details。

Answer 2

我已经通过将samAccountName值分配给另一个变量来解决这个问题：

$tmpAccountName = $inuser.samAccountName

然后

If ($arrUsers.ContainsKey("$tmpAccountName"))

而不是将$ inuser.samAccountName直接抛给检查。不太确定为什么它不能直接读取，但至少现在解决了=）。同样问题＃2。

Powershell - 与Containskey＆amp;匹配哈希表的设定值不起作用

2 个答案: