我正在Richard L. Mueller处理一个脚本,以禁用我们AD中的非活动帐户。
Trap {"Error: $_"; Break;}
$D = [System.DirectoryServices.ActiveDirectory.Domain]::GetCurrentDomain()
$Domain = [ADSI]"LDAP://$D"
$Searcher = New-Object System.DirectoryServices.DirectorySearcher
$Searcher.PageSize = 200
$Searcher.SearchScope = "subtree"
$Searcher.Filter = "(&(objectCategory=person)(objectClass=user))"
$Searcher.PropertiesToLoad.Add("samAccountName") > $Null
$Searcher.PropertiesToLoad.Add("lastLogon") > $Null
$Searcher.PropertiesToLoad.Add("accountExpires") > $Null
# Create hash table of users and their last logon dates.
$arrUsers = @{}
# Enumerate all Domain Controllers.
ForEach ($DC In $D.DomainControllers)
{
$Server = $DC.Name
$Searcher.SearchRoot = "LDAP://$Server/" + $Domain.distinguishedName
$Results = $Searcher.FindAll()
#$Results[100].Properties.item("samAccountName")
#$Results[100].Properties.item("lastlogon")
ForEach ($Result In $Results)
{
$DN = $Result.Properties.Item("samAccountName")
$LL = $Result.Properties.Item("lastLogon")
If ($LL.Count -eq 0)
{
$Last = [DateTime]0
}
Else
{
$Last = [DateTime]$LL.Item(0)
}
If ($Last -eq 0)
{
$LastLogon = $Last.AddYears(1600)
}
Else
{
$LastLogon = $Last.AddYears(1600).ToLocalTime()
}
If ($arrUsers.ContainsKey("$DN"))
{
If ($LastLogon -gt $arrUsers["$DN"])
{
$arrUsers["$DN"] = $LastLogon
}
}
Else
{
$arrUsers.Add("$DN", $LastLogon)
}
}
}
现在我的AD用户的LastLogon日期最新。
然后我这样做:
Foreach ($ou in $searchRoot) {
$inactiveUsers += @(Get-QADUser -SearchRoot $ou -Enabled -PasswordNeverExpires:$false -CreatedBefore $creationCutoff -SizeLimit $sizeLimit | Select-Object Name,SamAccountName,LastLogonTimeStamp,Description,passwordneverexpires,canonicalName | Sort-Object Name)
}
我不使用它来禁用ID,因为LastLogonTimeStamp的延迟时间从9-14天更新。使用$ arrUsers中的真实最后登录日期,我想用它替换LastLogonTimeStamp。所以我想使用用户ID匹配它们:
Foreach ($inuser in $inactiveUsers) {
If ($arrUsers.ContainsKey("$inuser.samAccountName"))
{
write-host "True"
$inuser.LastLogonTimeStamp = $arrUsers["$inuser.samAccountName"]
$inuser.LastLogonTimeStamp = $inuser.LastLogonTimeStamp.adddays(30)
If ((Get-Date) -gt $inuser.LastLogonTimeStamp)
{
write-host $inuser.samAccountName "should be disabled"
}
Else
{
write-host $inuser.samAccountName "is still active"
}
}
}
Else
{
write-host "False"
}
我这里有两个问题。
有人能提供一些助手吗?
答案 0 :(得分:6)
您没有正确使用变量扩展。对象属性未展开,因此
"$inuser.samaccountname"
实际上是:
$inuser.ToString() + ".samaccountname"
要在字符串中展开表达式,必须用$()
括起来,例如
"$($inuser.samaccountname)"
但是,在您的情况下,您甚至不需要这样做。完全不要引用引号:
$arrusers[$DN]
$arrusers.ContainsKey($inuser.samaccountname)
答案 1 :(得分:0)
我已经通过将samAccountName值分配给另一个变量来解决这个问题:
$tmpAccountName = $inuser.samAccountName
然后
If ($arrUsers.ContainsKey("$tmpAccountName"))
而不是将$ inuser.samAccountName直接抛给检查。不太确定为什么它不能直接读取,但至少现在解决了=)。同样问题#2。