Oft werden für Installationen von Fremdfirmen oder zum Beispiel beim Besuch von Wirtschaftsprüfern Benutzerkonten eingerichtet um den betreffenden Personen einen Zugang zu benötigten Ressourcen zu gewähren. Nicht selten wird aber im Anschluss vergessen, diese Benutzerkonten wieder zu deaktivieren. Um diesem Sicherheitsrisiko entgegenzuwirken, empfiehlt es sich, derartige Konten von vornherein zeitlich zu begrenzen. Hierfür kannst Du Benutzer per Powershell temporär aktivieren.



Benutzerkonto per Powershell zeitlich begrenzt aktivieren

Die zeitliche Begrenzung kann entweder über die grafische Oberfläche („Active Directory-Benutzer und -Computer“) erfolgen oder auch ganz schnell per PowerShell. Wir bedienen uns dabei der Funktion, ein Konto zu einem bestimmten Zeitpunkt ablaufen zu lassen. Wichtig: Das AD-Konto wird nach Ablauf dieser Zeitspanne nicht deaktiviert, sondern es wird lediglich die Anmeldung verweigert.

In dem folgenden Beispiel aktiviere ich ein Benutzerkonto zunächst und konfiguriere es anschließend so, dass die Anmeldung für die nächsten 7 Tage möglich ist.

 

Benutzer per Powershell temporär aktivieren

Die Zeitspanne wird im Format <Tage>.<Stunden>:<Minuten>:<Sekunden> eingegeben. Zur Kontrolle genügt ein Blick in die AD-Benutzerverwaltung :

Benutzerkonto per Powershell zeitlich begrenzt aktivieren

Das Benutzerkonto wurde aktiviert und ist zeitlich begrenzt nutzbar.

Alternativ zu dem Parameter TimeSpan lässt sich auch ein genaues Ablaufdatum definieren, der Befehl hierfür würde beispielsweise lauten:

Gerade wenn Benutzer nur sporadisch einen Zugang zum System benötigen, bietet sich diese Methode an. Mittels Powershell Skript benötigt man hierfür nicht mal eine Minute – Skript speichern und bei Bedarf ausführen: Fertig. Und man ist sich sicher, dass der Zugang automatisch wieder deaktiviert wird.

Wenn Dir diese Information weitergeholfen hat, kannst Du mir das gerne in die Kommentare schreiben. Ebenfalls freue ich mich über jede kleine Spende, die Du diesem Blog ganz unkompliziert über PayPalMe zukommen lassen kannst. Vielen Dank.

René Albarus

René Albarus

Ich heiße René Albarus und bin seit 2002 beruflich im Bereich der Systemadministration tätig. Da auch ich einen Teil meines Wissens IT-Blogs im Internet verdanke, ist es für mich selbstverständlich, dass ich Lösungsansätze und Anleitungen in diesem Blog weitergebe.
René Albarus

Letzte Artikel von René Albarus (Alle anzeigen)

0 Kommentare

Dein Kommentar

An Diskussion beteiligen?
Hinterlasse uns Deinen Kommentar!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.