Oft werden für Installationen von Fremdfirmen oder zum Beispiel beim Besuch von Wirtschaftsprüfern Benutzerkonten eingerichtet um den betreffenden Personen einen Zugang zu benötigten Ressourcen zu gewähren. Nicht selten wird aber im Anschluss vergessen, diese Benutzerkonten wieder zu deaktivieren. Um diesem Sicherheitsrisiko entgegenzuwirken, empfiehlt es sich, derartige Konten von vornherein zeitlich zu begrenzen. Hierfür kannst Du Benutzer per Powershell temporär aktivieren.

Benutzerkonto per Powershell zeitlich begrenzt aktivieren

Die zeitliche Begrenzung kann entweder über die grafische Oberfläche („Active Directory-Benutzer und -Computer“) erfolgen oder auch ganz schnell per PowerShell. Wir bedienen uns dabei der Funktion, ein Konto zu einem bestimmten Zeitpunkt ablaufen zu lassen. Wichtig: Das AD-Konto wird nach Ablauf dieser Zeitspanne nicht deaktiviert, sondern es wird lediglich die Anmeldung verweigert.

In dem folgenden Beispiel aktiviere ich ein Benutzerkonto zunächst und konfiguriere es anschließend so, dass die Anmeldung für die nächsten 7 Tage möglich ist.

enable-ADAccount -Identity <UserName> #Aktiviere den Benutzer
get-aduser -identity <UserName> | Set-ADAccountExpiration -TimeSpan 7.0:0 #Konto läuft in 7 Tagen ab
Benutzer per Powershell temporär aktivieren

Die Zeitspanne wird im Format <Tage>.<Stunden>:<Minuten>:<Sekunden> eingegeben. Zur Kontrolle genügt ein Blick in die AD-Benutzerverwaltung :

Benutzerkonto per Powershell zeitlich begrenzt aktivieren
Das Benutzerkonto wurde aktiviert und ist zeitlich begrenzt nutzbar.

Alternativ zu dem Parameter TimeSpan lässt sich auch ein genaues Ablaufdatum definieren, der Befehl hierfür würde beispielsweise lauten:

get-aduser -identity <UserName> | Set-ADAccountExpiration -DateTime 31.12.2018

Warum einen Benutzer per PowerShell temporär aktivieren?

Gerade wenn Benutzer nur sporadisch einen Zugang zum System benötigen, bietet sich diese Methode an. Mittels Powershell Skript benötigt man hierfür nicht mal eine Minute – Skript speichern und bei Bedarf ausführen: Fertig. Und man ist sich sicher, dass der Zugang automatisch wieder deaktiviert wird.

Gerade bei häufig wechselnden Praktikanten oder externen Mitarbeitern ist diese Möglichkeit sehr gut geeignet, um verwaiste Benutzerkonten zu vermeiden. Ich habe schon einige IT-Umgebungen gesehen, in denen es zahlreiche aktive „Karteileichen“ gab.

Ebenfalls interessant:

Dieser Artikel ist wie alle anderen auf dieser Seite kostenlos für Dich und ich hoffe, ich konnte Dir weiterhelfen. Wer möchte, kann diesem Blog eine kleine Aufmerksamkeit in Form einer kleinen Spende (PayPal) oder über die Amazon Wunschliste zukommen lassen.