Haz búsquedas comunes en Active Directory con PowerShell

En el pasado, gestionar Active Directory desde la Línea de comandos era muy complejo. Había que utilizar Dsmod, Dsquery, Dsadd, y, la verdad, es que se hacía una gestión muy difícil. En el vídeo de hoy vamos a ver cómo realizar estas acciones utilizando PowerShell. Realizar tareas de gestión de Active Directory desde PowerShell es muy sencillo ya que existe un módulo para esta acción. Aquí, podemos ver el módulo de Active Directory que está integrado en nuestro controlador de dominio. Cuando ejecutamos cmdlets como Get-ADUser podemos ver que recibimos información sobre los distintos usuarios que tenemos. En este caso, el usuario adm.dcarrasco. Sin embargo, realizar búsquedas comunes, como cuentas caducadas, cuentas inactivas podría llegar a resultar más complejo ya que tenemos que trabajar con las distintas propiedades que tenemos en Active Directory. Cuando extraemos todas las propiedades del usuario adm.dcarrasco podemos ver que existe una, que es la Fecha de expiración, Fecha de caducidad. También existe otra que es la Fecha de inicio de sesión, la última fecha en la que esta cuenta inició sesión. Por supuesto, tenemos de Password caducado, etc. Al final, para poder extraer esta información de forma simple tendríamos que realizar una búsqueda y luego filtrar. Sin embargo, PowerShell ha añadido unos cmdlets que nos facilitan muchísimo este trabajo. El cmdlet Search-ADAccount me permite, gracias a sus modificadores, AccountDisabled, AccountExpired, AccountInactive, buscar esas cuentas que ya han caducado, que están deshabilitadas o que están inactivas, es decir, que no han iniciado sesión en el dominio desde hace un tiempo determinado. Por ejemplo, si realizo una búsqueda por Cuentas caducadas podemos ver que aparece un usuario que caducó el día 20 de enero de 2018. Si quisiera ver, por ejemplo, cuántas cuentas inactivas existen en el dominio, puedo ejecutar Search-ADAccount -AccountInactive y hacer una medición. Así puedo tener un listado de cuentas o la información de cuántas para hacer un seguimiento de esas cuentas que están inactivas, pasarlas a deshabilitadas, etc. Incluso puedo hacer también una búsqueda de aquellas cuentas que van a caducar. Esas cuentas que faltan pocos días para caducar o, dentro de las cuentas inactivas, puedo, también, seleccionar cuál es el plazo de tiempo que considero que debe pasar para que una cuenta sea inactiva o no. Por ejemplo, en ciertas compañías eso puede considerarse a los 90 días, 60 días, 120. Por tanto, puedo decir que me muestre las cuentas que estén inactivas por más de 120 días. Es decir, usuarios que no hayan iniciado sesión en los últimos 120 días.