Active Directory 安全指南:计算机账户管理与 PowerShell 检测技巧

本文详细讲解 Active Directory 计算机账户的安全管理方法,包括如何通过 PowerShell 脚本检测过期系统、无效账户及密码策略,并提供实际操作代码帮助企业提升域环境安全性。

Active Directory 安全提示 #3:计算机账户

Active Directory 计算机账户应每年审查一次。老旧操作系统会阻碍安全升级,例如保持 SMBv1 和 NTLMv1 启用状态。闲置计算机应在停用时被发现并禁用(最终删除)。OperatingSystem 和 PasswordLastSet 属性含义明确,但我们也可使用 LastLogonDate(代表计算机最后一次重启时间)。默认情况下,计算机密码应每 30 天更换一次。通过对比 PasswordLastSet 和 LastLogonDate 属性值,可判断计算机是否活跃。LastLogonDate 为空值表示该计算机对象仅为对象,未关联实际系统。

计算机密码信息

PowerShell 代码(使用 Active Directory PowerShell 模块):

1
2
3

$Domain = $env:userdnsdomain
$DomainDC = (Get-ADDomainController -Discover -DomainName $Domain).Name
Get-ADComputer -filter * -Prop name,OperatingSystem,LastLogonDate,PasswordLastSet -Server $DomainDC | sort OperatingSystem | select name,OperatingSystem,LastLogonDate,PasswordLastSet
comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次