Como habilitar usuários temporariamente usando o PowerShell
Contas de usuário surgem o tempo todo — por exemplo, ao conceder acesso a auditores externos ou contratados temporários durante uma instalação. Mas…elas frequentemente permanecem ativas após a conclusão de suas funções, o que não é exatamente ideal do ponto de vista da segurança. Se alguém se esquecer dessas contas, uma brecha de segurança fica aberta.É por isso que limitar o tempo de atividade das contas pode ser uma verdadeira salvação. Uma maneira rápida é ativar uma conta apenas pelo tempo necessário e, em seguida, configurá-la para expirar automaticamente. Parece estranho, mas funciona.
Como limitar o tempo de ativação da conta de usuário com o PowerShell
Este método é útil quando você deseja definir um período de acesso temporário para contas de usuário.É especialmente prático se você estiver lidando com pessoas externas ou funcionários temporários — como estagiários ou auditores — que precisam de acesso apenas por um curto período. A ideia é ativar a conta e, em seguida, especificar uma data ou período de tempo durante o qual eles poderão fazer login. Assim que esse período terminar, a conta é desativada automaticamente. Em algumas configurações, isso pode realmente ajudar a reduzir o número de contas esquecidas e inativas que ainda representam um risco de segurança.
Na maioria das vezes, você vai querer fazer isso usando o PowerShell, pois é mais rápido e flexível do que mexer na interface gráfica. Os comandos abaixo podem ajudar a ativar uma conta e definir sua data ou período de expiração.
<!-- To activate an account and set it to expire in 7 days --> enable-ADAccount -Identity <UserName> Get-ADUser -Identity <UserName> | Set-ADAccountExpiration -TimeSpan 7.0:0O TimeSpanformato é bem simples: dias.horas:minutos. Então, para uma semana, seria 7, 0:0. Se você quiser definir uma data de expiração específica — digamos, 31 de dezembro de 2018 — você faria assim:
<!-- To set an exact expiry date --> Get-ADUser -Identity <UserName> | Set-ADAccountExpiration -DateTime 31.12.2018Por que se preocupar com o PowerShell para ativações temporárias?
Isso é especialmente útil quando os usuários precisam de acesso esporádico ou de curto prazo. Com um pequeno script em PowerShell, você pode ativar o acesso de alguém e simplesmente esquecer — até precisar desativá-lo ou estender o acesso.É extremamente conveniente ao gerenciar muitos contratados externos, estagiários ou qualquer pessoa cuja função possa mudar rapidamente. Além disso, ajuda a evitar que várias contas não utilizadas ocupem espaço no diretório, o que é uma boa prática de segurança.
Não sei bem por que funciona, mas em algumas configurações, a expiração entra em vigor imediatamente, enquanto em outras, a conta permanece ativa até a data definida — então ela é desativada automaticamente. Provavelmente tem algo a ver com a configuração do Active Directory, mas, no geral, é bem confiável. Só certifique-se de testar primeiro em uma conta não crítica, porque mexer nas configurações de expiração de contas pode ser confuso se você não tiver cuidado.
Resumo
- Ative contas temporariamente com comandos do PowerShell, como
enable-ADAccounteSet-ADAccountExpiration - Defina a data de expiração usando um TimeSpan ou uma data exata.
- Ideal para gerenciar o acesso de usuários externos ou temporários sem deixar brechas de segurança.
Resumo
Configurar contas para expirarem automaticamente após um período definido pode economizar bastante tempo e, com sorte, evitar dores de cabeça futuras. Não é 100% perfeito, mas, em muitos casos, funciona melhor do que lembrar de desativar as contas manualmente. Se isso impulsionar pelo menos uma atualização, missão cumprida.
Artigos Relacionados
Este artigo foi útil?