如何主动实现本地AD中禁用的用户从地址列表中隐藏掉?
我的博客园:https://www.cnblogs.com/CQman/如何主动实现本地AD中禁用的用户从地址列表中隐藏掉?
需求信息:
用户本地AD用户通过ADConnect同步到O365,用户想实现在本地已做同步的OU中禁用某一用户后,其可以主动实现把该用户从地址列表中隐藏掉。
用户的ADConnect同步工具装在域控服务器上。
解决方法:
思绪概述:在本地中启用一个计划任务,在特定事件下触发运行powershell脚本,通过powershell命令检测本地AD中已禁用用户的enabled和msExchHideFromAddressLists属性值,并更改msExchHideFromAddressLists和mailnickname的属性值,然后使用Start-ADSyncSyncCycle -PolicyType Delta命令触发同步。
操纵步调:
[*]复制一下powershell 命令,把OU=G10,DC=ttt,DC=com更改为自己的Active Directory路径并保存为一个Powershell脚本文件。
Set-Executionpolicy -executionPolicy Unrestricted -force
Get-ADUser -Filter {(enabled -eq "false") -and (msExchHideFromAddressLists -notlike "*")} -SearchBase "OU=G10,DC=ttt,DC=com" -Properties msExchHideFromAddressLists `
| % { Set-ADUser -Identity $_.samaccountname -Replace @{msExchHideFromAddressLists=$true} ;Set-ADUser -Identity $_.samaccountname -Replace @{mailnickname="$($_.samaccountname)"} }
Start-ADSyncSyncCycle -PolicyType Delta
[*]在装有ADConnect同步工具的域控服务器上创建计划任务。
图形界面方式:
[*]输入“msc”命令打开“Task Scheduler”控制面板。
https://img2024.cnblogs.com/blog/1317177/202407/1317177-20240730220747578-993997964.png
[*]打开“任务计划程序”,点击右边的“创建根本任务”。
https://img2024.cnblogs.com/blog/1317177/202407/1317177-20240730220756452-2066784224.png
[*]填写名称及描述信息
https://img2024.cnblogs.com/blog/1317177/202407/1317177-20240730220807153-1593586307.png
[*]当禁用AD用户时,在本地的域控制器上会触发一个事件日志
https://img2024.cnblogs.com/blog/1317177/202407/1317177-20240730220814061-1543897861.png
[*]选择触发范例
https://img2024.cnblogs.com/blog/1317177/202407/1317177-20240730220822181-997790601.png
[*]填写Log、Source、EventID
Log: Security
Source: Microsoft Windows security auditing
Event ID : 4725
https://img2024.cnblogs.com/blog/1317177/202407/1317177-20240730220834519-254209084.png
[*]选择操纵范例
https://img2024.cnblogs.com/blog/1317177/202407/1317177-20240730220910814-536680428.png
[*]“程序或脚本”这里要填写Powershell程序的路径,如图中地址;在“添加参数”,这里需要写上:C:\automatically_hide_address_list.ps1 在起始项中填写脚本所在文件夹路径
https://img2024.cnblogs.com/blog/1317177/202407/1317177-20240730220918954-427283097.png
[*]勾选图中位置选项,点击下一步。
https://img2024.cnblogs.com/blog/1317177/202407/1317177-20240730220927146-851114534.png
[*]用户那边要使用Administrator管理员权限,这个权限最大,不轻易出现:权限不敷的报错。勾选“不管用户是否登录都要运行”和“使用最高权限运行”。
https://img2024.cnblogs.com/blog/1317177/202407/1317177-20240730220937539-1063789691.png
[*]输入管理员密码
https://img2024.cnblogs.com/blog/1317177/202407/1317177-20240730220947833-2109460527.png
[*]创建完成后就可以在计划任务面板中看到该计划。
https://img2024.cnblogs.com/blog/1317177/202407/1317177-20240730220955627-291666304.png
备注:正常情况下我们的任务计划执行后会有反馈数值:
[*]
[*]代码 0 或 0x0:操纵乐成完成。
[*]代码 1 或 0x1:调用的函数不正确或调用了未知函数。
[*]代码 10 或 0xa:情况不正确。
[*]代码 0x8009000f:通例访问被拒绝
13. 效果验证
禁用前
https://img2024.cnblogs.com/blog/1317177/202407/1317177-20240730221026905-920710694.png
https://img2024.cnblogs.com/blog/1317177/202407/1317177-20240730221039562-1096808680.png
禁用后
禁用T23用户,触发系统安全事件日志
https://img2024.cnblogs.com/blog/1317177/202407/1317177-20240730221352222-902498848.png
计划任务也主动触发并乐成执行。
https://img2024.cnblogs.com/blog/1317177/202407/1317177-20240730221406567-1270912586.png
检查用户的mailnickname和msExchHideFromAddressLists属性值均发生更改。
https://img2024.cnblogs.com/blog/1317177/202407/1317177-20240730221419463-2035838403.png
https://img2024.cnblogs.com/blog/1317177/202407/1317177-20240730221437251-190792929.png
云端O365中的用户已经被Blocked
https://img2024.cnblogs.com/blog/1317177/202407/1317177-20240730221450520-1489310856.png
检察Exchange用户中的Hide address list
https://img2024.cnblogs.com/blog/1317177/202407/1317177-20240730221517796-775509862.png
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]