Cómo habilitar temporalmente a los usuarios mediante PowerShell
Las cuentas de usuario aparecen constantemente, por ejemplo, al dar acceso a auditores externos o contratistas temporales durante una configuración. Pero a menudo se mantienen activas después de terminar su trabajo, lo cual no es ideal desde el punto de vista de la seguridad. Si alguien olvida esas cuentas, se abre una puerta trasera. Por eso, limitar el tiempo que las cuentas permanecen activas puede ser una verdadera salvación. Una forma rápida es activar una cuenta solo el tiempo que la necesites y luego configurarla para que caduque automáticamente. Es un poco extraño, pero funciona.
Cómo limitar el tiempo de activación de una cuenta de usuario con PowerShell
Este método es útil cuando se desea establecer un período de acceso temporal para las cuentas de usuario. Es especialmente práctico si se trabaja con personal externo o temporal, como becarios o auditores, que solo necesitan acceso por un tiempo limitado. La idea es activar la cuenta y luego especificar una fecha o un período de tiempo durante el cual podrán iniciar sesión. Una vez transcurrido ese período, la cuenta se deshabilita automáticamente. En algunas configuraciones, esto puede ayudar a reducir el número de cuentas olvidadas que permanecen intactas, pero que aún representan un riesgo para la seguridad.
La mayoría de las veces, querrás hacer esto usando PowerShell, ya que es más rápido y flexible que explorar la interfaz gráfica. Los siguientes comandos pueden ayudarte a activar una cuenta y establecer su fecha o período de vencimiento.
<!-- To activate an account and set it to expire in 7 days --> enable-ADAccount -Identity <UserName> Get-ADUser -Identity <UserName> | Set-ADAccountExpiration -TimeSpan 7.0:0El TimeSpanformato es bastante sencillo: días.horas:minutos. Por lo tanto, para una semana, es 7.0:0. Si desea establecer una fecha de vencimiento específica (por ejemplo, el 31 de diciembre de 2018), hágalo así:
<!-- To set an exact expiry date --> Get-ADUser -Identity <UserName> | Set-ADAccountExpiration -DateTime 31.12.2018¿Por qué molestarse con PowerShell para activaciones temporales?
Esto es principalmente para cuando los usuarios solo necesitan acceso esporádico o a corto plazo. Con un poco de scripting de PowerShell, puedes activar a alguien y luego olvidarte de ello, hasta que necesites desactivarlo o extender su acceso. Es muy práctico cuando se gestionan muchos contratistas externos, becarios o cualquier persona cuyo rol pueda cambiar rápidamente. Además, ayuda a evitar tener un montón de cuentas sin usar que saturen el directorio, lo cual es una buena medida de seguridad.
No sé por qué funciona, pero en algunas configuraciones, la expiración se hace efectiva inmediatamente, mientras que en otras, la cuenta permanece activa hasta la fecha establecida; luego, se desactiva automáticamente. Probablemente tenga algo que ver con la configuración de AD, pero en general, es bastante fiable. Solo asegúrate de probarlo primero en una cuenta que no sea crítica, ya que modificar la configuración de expiración de la cuenta puede ser confuso si no tienes cuidado.
Resumen
- Activar cuentas temporalmente con comandos de PowerShell como
enable-ADAccountySet-ADAccountExpiration - Establezca la expiración utilizando un intervalo de tiempo o una fecha exacta
- Bueno para administrar el acceso de usuarios externos o temporales sin dejar brechas de seguridad.
Resumen
El simple hecho de que las cuentas caduquen automáticamente tras un periodo determinado puede ahorrar mucho tiempo y, con suerte, reducir algunos dolores de cabeza más adelante. No es 100 % perfecto, pero en muchos casos, funciona mejor que acordarse de desactivar las cuentas manualmente. Si esto consigue que una actualización se ponga en marcha, misión cumplida.
Artículos relacionados
¿Te resultó útil este artículo?