PowerShell - [решено] PowerShell - скрипт блокировки учетных записей AD, не успевших залогиниться до 9:01

Kazun · Отправлено: **08:46, 16-11-2017** | #2

С учетом 1 котроллера, если больше 1, то указать -Server и на каждом выполнить:

Код:

Get-ADUser -Filter "LastLogon -gt '$((Get-Date -Hour 9 -Minute 1 -Second 0).ToFileTime())'" | Set-ADUser -Enabled $false

Iska · Отправлено: **09:20, 16-11-2017** | #3

Цитата Dmit84:

Блокирующий всех пользователей AD не успевших зайти до 9:01 »

Dmit84, и в чём глубинный смысл?! Пожелание начальства?

Dmit84 · Отправлено: **09:31, 16-11-2017** | #4

Цитата Iska:

Dmit84, и в чём глубинный смысл?! Пожелание начальства? »

Так точно пожелания начальства

megaloman · Отправлено: **10:41, 16-11-2017** | #5

Dmit84, опоздавших ловите? А что, если на ночь комп не выключать?

Iska · Отправлено: **10:46, 16-11-2017** | #6

megaloman, тсс! Тут как — «К пуговицам претензии есть™?» Начальник сказал — подчинённый сделал. Остальное не его дело.

Dmit84 · Отправлено: **11:22, 16-11-2017** | #7

Цитата Kazun:

С учетом 1 котроллера, если больше 1, то указать -Server и на каждом выполнить:
Код:
Get-ADUser -Filter "LastLogon -gt '$((Get-Date -Hour 9 -Minute 1 -Second 0).ToFileTime())'" | Set-ADUser -Enabled $false »

Get-ADUser -SearchBase "OU=Пользователи,DC=work,DC=local" -Filter "LastLogon -gt '$((Get-Date -Hour 9 -Minute 1 -Second 0).ToFileTime())'" | Set-ADUser -Enabled $false
Скрипт работает - блокируется пользователя, но если пользователь первый раз заходит, то его пустит. Если он разконнектится, то уже второй раз его не пустит пока админ не разблокирует. А как сделать, чтоб его не пускало даже и при первом входе, если он не успел зайти до 9:01 ?

Kazun · Отправлено: **11:46, 16-11-2017** | #8

Только с жестким определением интервала, что если пользователь не залогинелся с 8-00 до 9-00, то блокировать. Но проблем будет много, поэтому лучше слать уведомления.

Код:

"-NOT (LastLogon -gt '$((Get-Date -Hour 8 -Minute 00 -Second 0).ToFileTime())' -AND LastLogon -lt '$((Get-Date -Hour 9 -Minute 1 -Second 0).ToFileTime())')"

megaloman · Отправлено: **12:04, 16-11-2017** | #9

Народная мудрость: если опаздываешь, не опаздывай на минуту - обязательно увидит контроль на проходной, опаздывай на час - есть шанс, что этого не заметят, если заметят - последствия практически не отличаются, и, кроме всего, отовраться проще.
Но по делу, наверное резоннее сделать блокировку, например, с 9.01 до 10-00, чтобы минимизировать лишние обращения к админу в случае необходимости повторного залогинивания. Представтье себе, вырубили у клиентов свет, какой вал обращений вы получите после включения?
А еще лучше, если возможно, организовать журнал с отметками, когда пользователь залогинился, без блокировок. Для разбирательства достаточно.

Опиум · Отправлено: **11:24, 21-11-2017** | #10

я в логон скрипте отправляю на syslog сервер мессагу с %computername% %username% %macadr% %SRVCOMMENT%
И самому удобно смотреть и отчет, если что, тоже элементарно.