Active Directory-Benutzerobjekte besitzen die Eigenschaft UserAccountControl.
Diese Eigenschaft ist ein Bitfeld, das verschiedene Statusinformationen des Benutzerkontos enthält.
Es ist z. B. nützlich, diesen Wert auszuwerten, wenn man nach aktiven Benutzern filtern möchte.
Damit das funktioniert, muss man wissen, was die Zahlenwerte bedeuten, die in dieser Variablen stecken.
| Wert | Beschreibung |
|---|---|
| 512 | Enabled Account |
| 514 | Disabled Account |
| 544 | Enabled, Password Not Required |
| 546 | Disabled, Password Not Required |
| 66048 | Enabled, Password Doesn't Expire |
| 66050 | Disabled, Password Doesn't Expire |
| 66080 | Enabled, Password Doesn't Expire & Not Required |
| 66082 | Disabled, Password Doesn't Expire & Not Required |
| 262656 | Enabled, Smartcard Required |
| 262658 | Disabled, Smartcard Required |
| 262688 | Enabled, Smartcard Required, Password Not Required |
| 262690 | Disabled, Smartcard Required, Password Not Required |
| 328192 | Enabled, Smartcard Required, Password Doesn't Expire |
| 328194 | Disabled, Smartcard Required, Password Doesn't Expire |
| 328224 | Enabled, Smartcard Required, Password Doesn't Expire & Not Required |
| 328226 | Disabled, Smartcard Required, Password Doesn't Expire & Not Required |
Wenn du alle aktiven Benutzer finden möchtest, filtere nach allen Werten, die mit Enabled beginnen (z. B. 512, 544, 66048, …).
Get-ADUser -Filter { (UserAccountControl -band 2) -eq 0 } -Properties UserAccountControl
Weitere Zeilen anzeigen
Erklärung: Das Bit
2steht für „Account Disabled“. Wenn es nicht gesetzt ist (-eq 0), ist der Account aktiv.
H@ppy H@cking