Jak tymczasowo włączyć użytkowników za pomocą programu PowerShell
Konta użytkowników pojawiają się nieustannie – na przykład podczas udzielania dostępu zewnętrznym audytorom lub tymczasowym kontrahentom podczas konfiguracji. Ale… często pozostają aktywne po zakończeniu pracy, co nie jest idealne z punktu widzenia bezpieczeństwa. Jeśli ktoś zapomni o tych kontach, otwierają się tylne drzwi. Dlatego ograniczenie czasu aktywności kont może być prawdziwym wybawieniem. Jednym z szybkich sposobów jest włączenie konta tylko na potrzebny czas, a następnie ustawienie automatycznego wygasania. Trochę dziwne, ale działa.
Jak ograniczyć czas aktywacji konta użytkownika za pomocą programu PowerShell
Ta metoda jest przydatna, gdy chcesz ustawić tymczasowy okres dostępu do kont użytkowników. Jest to szczególnie przydatne, gdy masz do czynienia z osobami z zewnątrz lub pracownikami tymczasowymi – takimi jak stażyści czy audytorzy – którzy potrzebują dostępu tylko na chwilę. Chodzi o to, aby aktywować konto, a następnie określić datę lub przedział czasowy, przez jaki będą mogli się logować. Po upływie tego okresu konto zostanie automatycznie wyłączone. W niektórych konfiguracjach może to naprawdę pomóc ograniczyć liczbę zapomnianych, zalegających kont, które pozostają nieużywane, ale nadal stanowią zagrożenie dla bezpieczeństwa.
W większości przypadków najlepiej jest to zrobić za pomocą programu PowerShell, ponieważ jest on szybszy i bardziej elastyczny niż grzebanie w interfejsie graficznym. Poniższe polecenia pomogą aktywować konto i ustawić datę lub okres jego ważności.
<!-- To activate an account and set it to expire in 7 days --> enable-ADAccount -Identity <UserName> Get-ADUser -Identity <UserName> | Set-ADAccountExpiration -TimeSpan 7.0:0Format TimeSpanjest dość prosty: dni.godziny:minuty. Zatem dla tygodnia to 7.0:0. Jeśli chcesz ustawić konkretną datę wygaśnięcia – powiedzmy 31 grudnia 2018 r.– zrób to tak:
<!-- To set an exact expiry date --> Get-ADUser -Identity <UserName> | Set-ADAccountExpiration -DateTime 31.12.2018Po co zawracać sobie głowę programem PowerShell w przypadku tymczasowych aktywacji?
Jest to rozwiązanie przeznaczone głównie dla użytkowników, którzy potrzebują sporadycznego lub krótkotrwałego dostępu. Za pomocą skryptu PowerShell można aktywować konto i zapomnieć o nim – do momentu, aż trzeba będzie je dezaktywować lub przedłużyć. To niezwykle wygodne rozwiązanie w przypadku zarządzania wieloma zewnętrznymi kontrahentami, stażystami lub osobami, których rola może się szybko zmienić. Dodatkowo pomaga uniknąć gromadzenia się w katalogu mnóstwa nieużywanych kont, co jest dobrym rozwiązaniem pod kątem bezpieczeństwa.
Nie wiem, dlaczego to działa, ale w niektórych konfiguracjach wygaśnięcie konta następuje natychmiast, a w innych konto pozostaje aktywne do ustawionej daty – po czym zostaje automatycznie wyłączone. Prawdopodobnie ma to związek z konfiguracją usługi Active Directory, ale generalnie jest dość niezawodne. Pamiętaj tylko, aby najpierw przetestować to na koncie niekrytycznym, ponieważ manipulowanie ustawieniami wygaśnięcia konta może być mylące, jeśli nie zachowasz ostrożności.
Streszczenie
- Tymczasowo aktywuj konta za pomocą poleceń programu PowerShell, takich jak
enable-ADAccountiSet-ADAccountExpiration - Ustaw datę wygaśnięcia, używając przedziału czasu lub dokładnej daty
- Dobre rozwiązanie do zarządzania dostępem dla użytkowników zewnętrznych lub tymczasowych, bez pozostawiania luk w zabezpieczeniach
Podsumowanie
Samo ustawienie automatycznego wygasania kont po ustalonym czasie może zaoszczędzić sporo czasu – i miejmy nadzieję, że zmniejszy to późniejsze problemy. Nie jest to rozwiązanie w 100% idealne, ale w wielu przypadkach sprawdza się lepiej niż pamiętanie o ręcznym wyłączaniu kont. Jeśli dzięki temu uda się uruchomić jedną aktualizację, misja zakończona sukcesem.
Powiązane artykuły
Czy ten artykuł był pomocny?