开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

PowerShell 2-如何查看90天内处于非活动状态的用户帐户

基础概念

PowerShell 是一种跨平台的任务自动化和配置管理框架，主要用于系统管理和自动化。它允许用户通过命令行界面执行各种操作，如文件管理、进程管理、系统管理等。

相关优势

脚本化：PowerShell 提供了强大的脚本功能，可以编写复杂的自动化脚本。
跨平台：PowerShell 支持 Windows、Linux 和 macOS 等多个操作系统。
扩展性：可以通过安装模块来扩展 PowerShell 的功能。
安全性：PowerShell 提供了丰富的安全特性，如执行策略和代码签名。

类型

PowerShell 可以分为以下几种类型：

桌面版 PowerShell：适用于 Windows 桌面系统。
核心版 PowerShell：轻量级版本，支持跨平台。
Azure PowerShell：用于管理 Azure 资源。

应用场景

PowerShell 广泛应用于系统管理、自动化任务、网络管理、数据库管理等领域。

查看90天内处于非活动状态的用户帐户

在 PowerShell 中，可以使用 Get-ADUser 命令结合 -Filter 参数来查找非活动用户帐户。假设你使用的是 Active Directory，以下是一个示例脚本：

# 导入 Active Directory 模块
Import-Module ActiveDirectory

# 获取当前日期并计算90天前的日期
$currentDate = Get-Date
$inactiveDate = $currentDate.AddDays(-90)

# 查找90天内未登录的用户
$inactiveUsers = Get-ADUser -Filter { LastLogonDate -lt $inactiveDate } -Properties LastLogonDate

# 输出结果
foreach ($user in $inactiveUsers) {
    Write-Output "用户名: $($user.SamAccountName), 最后登录时间: $($user.LastLogonDate)"
}

参考链接

解决常见问题

如果在执行上述脚本时遇到问题，可以考虑以下几点：

模块未安装：确保已安装并导入 Active Directory PowerShell 模块。
权限不足：确保当前用户具有足够的权限来查询 Active Directory。
日期格式问题：确保日期格式正确，PowerShell 默认使用 UTC 时间。

通过以上步骤，你应该能够成功查看90天内处于非活动状态的用户帐户。

相关搜索:用于获取90天或更长时间内处于非活动状态的用户帐户的Windows命令在登录过程中，如果用户帐户处于非活动状态，如何显示一些消息？如何使数组的第一项处于活动状态，其余项处于非活动状态如果用户在此选项卡中处于非活动状态，如何使倒计时暂停，如果处于活动状态，如何继续？如何使被点击的页签及其内容处于活动状态，而使其他内容处于非活动状态？我的Office365开发人员帐户处于非活动状态(E5订阅)如何允许所有用户在Django中处于非活动状态时都可以登录()当用户处于活动状态时，如何更改firestore中的“status”值？如果用户在我的网站上处于活动状态，如何运行倒计时？Python:如果光标处于非活动状态五分钟，如何控制光标，如果用户触摸鼠标，如何暂停程序(我的python程序)？如何找出某个特定RoleID的哪些用户在某个时间间隔内未处于活动状态？如何确定哪些用户的特定RoleID在一段时间内未处于活动状态？他们属于哪个部门？如何查找在Git Hub中处于不活动状态一个月或更长时间的所有用户

相关搜索:

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

活动目录管理及维护之系列一备份和灾难恢复

一台域控制器的崩溃对于一个网络工程师而言，无疑是一场恶梦，那么活动目录应该如何来备份和恢复呢?在这里我将详细的为大家讲一下这个问题，我们一般把活动目录的备份和恢复分为非授权还原和授权还原。...非授权还原（指的是只有一台DC时进行非授权还原）首先通过wbadmin命令行进行备份还原添加Windows Server Backup功能（必须安装Windows PowerShell工具）在活动目录中创建一个域帐户...使用命令来备份系统状态（在cmd里面输命令就行）： “wbadmin start systemstatebackup -backuptarget:d:” 在活动目录中删除域帐户zhangsan用户。...使用命令查看前面的备份集：“Wbadmin get versions ” 使用命令来还原系统状态： “wbadmin start recovery -version : ” 重启...DC后验证还原结果，查看域帐户zhangsan用户是否恢复授权还原（指的是有两台DC或多台时进行授权还原）其实呢授权还原和非授权还原差不多无非就是多了最后还原时几个命令而已下面我给大家演示一下系统状态还原完成后不要重新启动计算机

1.3K3 0

PowerShell5.X与WMI的集成专题系列分享第一部分

比如在活动目录当中，我们可以通过Active Directory Module去获取到相应的活动目录当中的用户、计算机、安全组等信息，当然我们也可以去创建用户、计算机、安全组。...除此之外，在hyperV的运行环境当中，PowerShell 也为我们提供了hyperV的Module，那我们就能够了解到虚拟机的基本信息，虚拟机的运行状态，同时也能更改虚拟机的所有配置。...True 管理计算机(域)的内置帐户 DefaultAccount False 系统管理的用户帐户。...Guest False 供来宾访问计算机或访问域的内置帐户 WDAGUtilityAccount False 系统为 Windows Defender 应用程序防护方案管理和使用的用户帐户。...zhangsan.testLab.com DefaultAccount False 系统管理的用户帐户。

8782 0

围绕PowerShell事件日志记录的攻防博弈战

尽管如此，旧版本中的默认日志记录级别也可以提供足够的证据来识别PowerShell使用情况，将远程处理与本地活动区分开来并提供诸如会话持续时间和相关用户帐户之类的上下文，这些已经可以帮助位于防御方的蓝队人员进行相关的攻击事件推断和关联性分析...）以及发生活动的用户帐户。...如果正在使用PowerShell远程处理，则访问的系统将使用HostName = ServerRemoteHost记录这些事件。两条消息都不记录与PowerShell活动关联的用户帐户。...处于活动状态时，涉及远程命令执行安全相关的事件ID如下： • 事件ID 32850：记录为远程处理进行身份验证的用户帐户； • 事件ID 32867/32868：记录在PowerShell远程处理期间进行的每个...PowerShell事件日志作为企业在此方面进行监测预警的重要数据支持必须充分发挥作用，建议企业用户保持PowerShell事件查看器处于最新版本，并启用ScriptBlock日志等功能来加强防御。

1.8K1 0

围绕PowerShell事件日志记录的攻防博弈

随之而来，如何躲避事件日志记录成为攻防博弈的重要一环，围绕PowerShell事件查看器不断改善的安全特性，攻击者利用多种技巧与方法破坏PowerShell日志工具自身数据，以及事件记录的完整性。...尽管如此，旧版本中的默认日志记录级别也可以提供足够的证据来识别PowerShell使用情况，将远程处理与本地活动区分开来并提供诸如会话持续时间和相关用户帐户之类的上下文，这些已经可以帮助位于防御方的蓝队人员进行相关的攻击事件推断和关联性分析...防御角度（蓝队视角）：通常PowerShell 2.0事件日志可以提供命令活动或脚本执行的开始和停止时间，加载的提供程序（指示正在使用的功能类型）以及发生活动的用户帐户。...如果正在使用PowerShell远程处理，则访问的系统将使用HostName = ServerRemoteHost记录这些事件。两条消息都不记录与PowerShell活动关联的用户帐户。...PowerShell事件日志作为企业在此方面进行监测预警的重要数据支持必须充分发挥作用，建议企业用户保持PowerShell事件查看器处于最新版本，并启用ScriptBlock日志等功能来加强防御。

1.4K3 0

Microsoft 本地管理员密码解决方案 (LAPS)

部署 LAPS 后，经批准的用户可以通过多种方法查看计算机本地管理员密码： PowerShell： Get-AdmPwdPassword -ComputerName Active Directory...用户和计算机：查看计算机属性 ms-Mcs-AdmPwd 的值 LAPS 客户端优点：全自动、可配置的计算机本地管理员帐户更新 OU 访问存储密码的简单委托。...非持久性 VDI（新计算机名）：如果 VDI 工作站在每次连接时都有一个新计算机名（非持久性会话，新计算机映像作为用户登录的一部分启动），那么 LAPS 将在 LAPS 更新密码客户端运行并注意到 AD...这意味着 VDI 系统将在阈值期间的大部分时间以及超过 LAPS 阈值时 VDI 系统处于活动状态的时间内拥有默认的 VDI 映像密码。...运行包含的 PowerShell cmdlet“ Set-AdmPwdReadPasswordPermission ”，为组委派权限以查看指定 OU 中的本地管理员帐户密码。

3.8K1 0

【CentOS7操作系统安全加固系列】第(3)篇

1、检查不活跃的密码锁定是否小于等于 30 天规则描述：在给定时间段内已停用的用户帐户可以自动禁用。建议在密码到期后 30 天内处于非活动状态的帐户被禁用。...30 天内停用： egrep ^[^:]+:[^\!...cat /etc/pam.d/su，查看文件中是否存在如下配置： auth sufficient pam_rootok.so 使用 pam_rootok.so 认证模块认证 auth required...用户通过 ssh 协议远程登录且 ssh 协议版本为 2 审计描述：查看配置文件/etc/ssh/sshd_config 是否有以下配置： egrep -v "^[[:space:]]_#|^[[:space...SSH登录再su - root 4、检查 AIDE 是否安装规则描述：AIDE 生产一个文件系统状态的快照，其中包括修改时间，权限和文件哈希值，然后可以其与文件系统的当前状态进行比较，以检测对系统的修改

2.2K3 1

MySQL8功能详解——角色

查看角色的权限：当角色授予用户后，我们可以查看用户拥有的权限，执行： ? 是否注意到，执行show grants语句只是看到了用户被赋予了角色，该角色具有哪些权限该如何查看呢？...角色自动激活：赋予用户帐户的角色在帐户会话中可以处于活动状态，也可以处于非活动状态。如果赋予的角色在会话中处于活动状态，则具有相应的权限，反之则没有。...要确定当前会话中哪些角色处于活动状态，使用CURRENT_ROLE()函数。 ?...默认情况下，向帐户赋予角色或在mandatory_roles系统变量值中为其命名后，该角色在帐户会话中不会变为活动状态。...要指定每次用户连接到服务器，进行身份验证时激活角色，请使用 SET DEFAULT ROLE: ? 之后，用app_dev_user登陆服务器，查看当前角色权限： ?

1.3K3 0

ADRecon：一款功能强大的活动目录安全研究与信息收集工具

关于ADRecon ADRecon是一款功能强大的活动目录安全研究与信息收集工具，该工具可以帮助广大研究人员从目标活动目录环境中提取和整合各种信息，这些信息能够以特殊格式的Microsoft Excel...报告呈现，其中包括带有度量的摘要视图，以便于分析并提供目标目标活动环境当前状态的整体视图。...该工具支持在任何连接到目标环境/工作站的设备上运行，甚至可以从非域成员的主机运行。...除此之外，该工具可以在非特权（即标准域用户）帐户的上下文中执行，而细粒度密码策略、LAPS和BitLocker可能需要特权用户帐户。...+（Windows 7已包含3.0）； 2、PowerShell 2.0+（Windows 7已包含2.0）； 3、一台Windows主机（不支持Linux/macOS的PowerShell）；可选要求

9782 0

蜜罐账户的艺术：让不寻常的看起来正常

所有这些都只有用户权限和企业网络上的最少活动。 image.png 4....但是攻击者如何在攻击之前验证多汁的目标（可能存在漏洞的帐户）呢？有一些关键的 AD 用户属性是通过帐户的正常使用而更新的。这包括帐户上次登录的时间、上次登录的位置、上次更改密码的时间等。...我们可以确定 (NetSessionEnum) 帐户的使用位置吗？缺少网络会话数据的帐户并不意味着它是蜜罐。如果是管理员帐户，是否有相关的用户帐户处于活动状态？...已至少登录一次（最好更多）：非活动帐户看起来很可疑，尤其是在所有其他帐户定期登录时。在受保护的服务器上配置计划任务以每天/每周使用此帐户登录以增加合法性。...如果假设蜜罐帐户要显示为非活动（并被遗忘），请确保有多个登录与其关联，因为攻击者可能会检查 logoncount 属性（尽管此属性不会被复制，因此需要检查多个 DC 才能获得准确的计数）。

1.7K1 0

使用 AD 诱饵检测 LDAP 枚举和Bloodhound 的 Sharphound 收集器

如何在 Active Directory 环境中检测 Bloodhound 的 SharpHound 收集器和 LDAP 侦察活动完成的枚举。...在活动目录中，可以创建用户帐户、组帐户、服务帐户、计算机帐户等形式的诱饵帐户。可以添加相关详细信息，使系统、服务、组等看起来更逼真。...，包括所有启用的帐户、禁用的帐户、具有 SPN 的帐户、所有组织单位、组策略对象、AD 中的所有安全和非安全组、内置容器中的组等....下面是如何使用 GUI 完成的图形表示： image.png 这也可以使用 PowerShell 来完成： New-ADComputer -Name “THL-SRV2” -SamAccountName...对诱饵组帐户的枚举尝试： image.png 对诱饵计算机帐户的枚举尝试： image.png 对诱饵用户帐户的枚举尝试： image.png 注意：正如您在上面的屏幕截图中看到的，事件查看器显示了对象名称和对象类型的值

2.6K2 0

利用OSINT追踪勒索组织活动

0X00前言众所周知，勒索组织一直是臭名昭著的代名词。在当今网络世界上时时刻刻都存在着勒索软件的身影。正所谓，不知攻，焉知防。我们可以更据OSINT的方法，去追踪分析各大勒索组织的活动，以及状态。...开源情报以这样或那样的名称已经存在了数百年。随着即时通信和快速信息传输的出现，现在可以从公共、非机密来源获得大量可操作和预测的情报（来源：百科）。 0X02分析为什么是加密货币？...我们通过Conti这个勒索组织的聊天内容，发现了不少有关其内部结构和层次结构的信息。Conti组织拥有许多与合法中小型企业相同的业务部门，包括负责不断面试潜在新员工的人力资源部门。...确保安装的防病毒软件保持最新状态，并根据供应商最佳实践适当配置安全功能。禁用 Windows powershell。如果可能，应使用应用程序白名单禁用或限制 powershell。...确保您的备份本身不会受到勒索软件的威胁。为用户实施最小权限模型，使用单独的帐户执行管理任务并实现管理员功能之间的职责分离。

1541 0

域内提权之sAMAccountName欺骗

具体来说，活动目录中的每个帐户在sAMAccountName属性中都有自己的名称，但是由于没有控制导致可以任意使用，因此任何拥有控制权和对象(即机器帐户)的用户都可以修改此值，该修改的目的可能导致模拟域上的其他帐户...属性，可以创建机器帐户的用户具有修改这些属性所需的权限，默认情况下，域用户的机器帐户配额设置为 10，这允许用户在域上创建机器帐户，或者可以从作为机器帐户所有者的帐户的角度进行此攻击，通过sAMAccountName...，然而在深入自动化之前，重要的是要了解如何使用现有的工具集手动执行这种攻击，在活动目录中创建机器帐户对于红队操作来说并不新鲜，因为它也可以在基于资源的约束委派期间使用，Kevin Robertson开发了一个名为...： Set-MachineAccountAttribute -MachineAccount "PentestLab" -Value "dc" -Attribute "samaccountname" 查看活动目录中的属性...:'Password1234' -dc-ip 10.0.0.1 此脚本可以根据活动使用各种参数执行，指定域用户的凭据和域控制器的IP 地址将实施攻击，直到检索到提升的票证 python3 noPac.py

1K1 0

铂链第3课 BOTTOS账户体系(密钥对账号钱包)的创建和管理

1，摘要通过前一课《铂链第2课如何部署节点并加入BOTTOS测试网络？》的学习，同学们知道了如何搭建BOTTOS本地节点环境。...本文包含内容：（1）创建并查看系统账户（2）创建并查看用户钥匙对，账户，钱包（3）给用户账户获取并质押BTO 2，内容 2.1 前置条件（1）启动本地节点本文假设你已经按照《铂链第2课....* 2.3 创建并查看用户钥匙对/账户/钱包（1）【创建公私钥密钥对】 ./bcli wallet generatekey用于创建一对新生成的公私钥对。.../bcli transfer 用户用于从源账号from给目标账号to进行BTO转账，需要保证源账号处于unlock状态，有足够的余额。...一般为用户提供的一天内免费额度为400微秒的time使用额度 (相应的，空间资源对应的免费额度为800Bytes)。

7363 0

领英LinkedIn的个人商务会员和企业销售会员我们应该怎么选？

也就是领英免费用户会有哪些限制以至于我们需要付费去开通会员： 1.有限的搜索次数使用免费的 LinkedIn 帐户，您将在一个月内搜索约 300 次后达到商业使用限制。...，例如活动，服务等。...) 重点功能介绍 1.每天无限制客户搜索 2.三度内人脉客户档案无限制浏览 3.查看近90天谁看过我 4.隐私浏览。...不被他人看到我访问他 5.直接发给非好友客户消息（也称为inmail）15次/月。如果90天内客户有回复，次数会返还。...不被他人看到我访问他 6.直接发给非好友客户消息（也称为inmail）50次/月。如果90天内客户有回复，次数会返还。

2K4 0

我所了解的内网渗透 - 内网渗透知识大总结

在使用Kerberos身份验证的网络中，必须在内置计算机帐户（如NetworkService或LocalSystem）或用户帐户下为服务器注册SPN。对于内置帐户，SPN将自动进行注册。...但是，如果在域用户帐户下运行服务，则必须为要使用的帐户手动注册SPN。...该文件还包含所有域用户和计算机帐户的密码哈希值。...同步之后使用法国佬神器（mimikatz）查看KRBTGT用户和SAM中管理员的NTLM值。可以看到两个账户的NTLM值相同，说明确实同步成功 ? ?...GPO的另一优点就是攻击过程期间并不需要目标系统在线，一旦离线状态下的目标系统重新登录到域中，恶意的GPO载荷就会被投递到目标系统。

4.2K5 0

域渗透：使用蜜罐检测出Kerberoast攻击

如果您拥有SIEM或使用SOC管理的服务，则应该已经捕获了这些事件，并且可以创建自定义警报，但是对于此博客文章，我们将说明如何在没有其他服务或产品的情况下识别此活动。 ?...创建一个自定义事件视图，以识别何时为我们的蜜罐用户帐户请求Kerberos服务票证。这可以通过使用以下包含我们新创建的帐户的XPath查询来完成。...如果我们不执行此步骤，则在大型AD环境中，将有成千上万的4769事件日志，并且很难识别恶意活动。...这可能是受感染的用户，或者是攻击者使用他们自己的设备物理连接到网络。 ? 现在，我们可以创建一个特定的事件查看器任务，该任务将在事件出现在自定义事件视图中时触发。...在最后一步中，我们将操作设置为启动powershell.exe，但是您应该将其更改为启动PowerShell脚本，该脚本通过电子邮件向管理员发送电子邮件，说明正在进行中的恶意活动也将禁用该帐户。 ?

1.1K2 0

如何检测与避免？

获取的这些信息可能会给组织或受害者个人带来严重的经济损失。根据谷歌的透明度报告，加密流量从 2014 年的大约 50% 增加到今天的 80% 到 90%。关于组织的财务损失。...如何避免钓鱼根据网络安全和基础设施安全局 (CISA) 的说法，网络犯罪分子可能发送的流行信息是： “我们怀疑您的帐户存在未经授权的交易。...为确保您的帐户不被盗用，请单击下面的链接并确认您的身份。” “在我们定期验证帐户期间，我们无法验证您的信息。请单击此处更新并验证您的信息。” “我们的记录显示您的账户被多收了。...由于该组织的销售团队很谨慎，他们很快就意识到了问题。准备不足的人可能会陷入提供敏感信息的陷阱——从而导致数据泄露。在查看从组织外部收到的任何电子邮件时，务必格外小心。...ThreatEye平台对网络流量特征的分析，可以发现与用户浏览网络钓鱼网站或点击电子邮件中的恶意链接有关的活动，这些活动会提示基于网络的恶意软件回调，这是相关的常见感染媒介。

9970 0

对 App Store 或 iTunes Store 购买项目申请退款

您可以在购买后 90 天内通过购买历史记录对某些 App Store 或 iTunes Store 购买项目申请退款。适用限制条件。请参阅“Apple 媒体服务条款和条件”了解详细信息。...您只能对购买历史记录中的项目申请退款。请了解如何就您的银行或付款方式对账单上出现的未知或不熟悉的 Apple 收费获取协助。...进一步了解在 App Store 或 iTunes Store 中查看您的购买历史记录。如果对某个项目的收费处于待付款状态，则表示您还没有付款，不能申请退款。在收费完成后，请再次尝试申请退款。 ?...请确保使用购买项目时所用的同一 Apple ID 登录。另外，请确保这不是使用您的付款方式支付的家庭成员购买的项目。某些超过 90 天的项目和购买项目不符合退款条件。...如果您收到一封关于向您的帐户收费的电子邮件，但您不记得授权过，请了解如何识别合法的 App Store 或 iTunes Store 电子邮件。 ?

3.6K2 0

MySQL 8.0用户和角色管理

查阅了MySQL8.0的官方文档，通过官方的示例来查看新的管理方式。...，帐户特定的到期时间设置示例：要求每90天更换密码： CREATE USER 'wangwei'@'localhost' PASSWORD EXPIRE INTERVAL 90 DAY; ALTER...像用户帐户一样，角色可以拥有授予和撤消的权限。可以授予用户帐户角色，授予该帐户与每个角色相关的权限。用户被授予角色权限，则该用户拥有该角色的权限。...； SET DEFAULT ROLE 指定哪些帐户角色默认处于活动状态； SET ROLE 更改当前会话中的活动角色。...CURRENT_ROLE()功能显示当前会话中的活动角色。 2.1 创建角色并授予用户角色权限考虑如下几种场景：应用程序使用名为app_db的数据库。

2.9K0 0

如何通过审计安全事件日志检测密码喷洒(Password Spraying)攻击

这种针对所有用户的自动密码猜测通常是为了避免帐户被锁定，因为针对同一个用户的连续密码猜测会导致帐户被锁定。所以只有对所有用户同时执行特定的密码登录尝试，才能增加破解的概率，消除帐户被锁定的概率。...关于“密码喷洒（Password Spraying）”的概念，我是在BSidesCharm 2017的有关“如何检测难以寻找的攻击活动目录”的演讲中提到的。...至于如何收集有关活动目录环境的密码策略的信息并使密码喷洒工具自动适应这些信息，对攻击者来说是小菜一碟。...它可以显示出黑客尝试登录该帐户的最后一个错误密码的日期和时间。运行以下PowerShell cmdlet可显示活动目录域中具有与错误密码尝试相关的属性的用户。...lastbadpasswordattempt和badpwdcount属性的活动目录用户帐户。

2.5K3 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭