Active-Directory-Tipp: So entsperren Sie gesperrte AD-Konten – mit ADSelfService Plus oder mit PowerShell

In diesem Tipp zeigen wir Ihnen, wie Sie gesperrte Active-Directory-Konten in Ihrem Unternehmen automatisch entsperren können. Wir stellen Ihnen dabei zwei mögliche Varianten vor:

Möglichkeit 1: Konten manuell per PowerShell-Skript entsperren

Falls Sie lediglich die nativen Bordmittel von Microsoft verwenden, können Sie mit dem folgenden PowerShell-Skript einmalig alle gesperrten Actice-Directory-Accounts in Ihrem Unternehmen automatisch entsperren.

PowerShell-Skript zum Entsperren aller gesperrten AD-Konten:

Search-ADAccount -Lockedout | Unlock-AdAccount

Hinweis:
Mit dem genannten PowerShell-Skript können Sie alle gesperrten Benutzerkonten auf einmal entsperren. Falls Sie gesperrte Konten allerdings in regelmäßigen Abständen finden und entsperren möchten, wäre die Erstellung eines extrem umfangreichen Skripts erforderlich. Deutlich komfortabler geht es, wie unten beschrieben, mit ADSelfService Plus.

Möglichkeit 2: Konten automatisiert und regelmäßig mit ADSelfService Plus entsperren

Mit der Self-Service-Passwort-Management-Lösung ADSelfService Plus können Sie gesperrte Active-Directory-Benutzerkonten in regelmäßigen Abständen automatisiert aufspüren und entsperren lassen. Sie müssen dazu lediglich einmalig den integrierten Planer wie folgt konfigurieren:

  1. Melden Sie sich bei ADSelfService Plus an und klicken Sie auf den Reiter Konfiguration.
  2. Klicken Sie auf der Seite Richtlinienkonfiguration auf „Neue Richtlinie hinzufügen“.
  3. Vergeben Sie einen Namen für die neue Richtlinie, setzen Sie das Häkchen bei „Konto freischalten“ und wählen Sie die Organisationseinheiten/Gruppen aus, für die die neue Richtlinie gelten soll. Bestätigen Sie Ihre Auswahl mit OK und klicken Sie auf Richtlinie speichern.
  4. Die gerade erstellte Richtlinie erscheint in der Liste. Klicken Sie in der entsprechenden Zeile auf das Zahnrad in der Spalte „Erweiterte“.
  5. Klicken Sie im nun geöffneten Fenster auf den Reiter Automatisierung und setzen Sie ein Häkchen bei der Option „Gesperrte Konten in Ihrer Domain werden automatisch entsperrt“.
  6. Geben Sie an, wann die Option ausgeführt werden soll, klicken Sie auf OK und im Abschnitt Richtlinienkonfiguration auf Richtlinie speichern.
Screenshot ADSelfService Plus: Automatisierung zum Entsperren von gesperrten AD-Konten
Screenshot ADSelfService Plus: Legen Sie eine Automatisierung an, die gesperrte AD-Benutzerkonten regelmäßig aufspürt und entsperrt.


Welche Vorteile bietet ADSelfService Plus beim Entsperren von AD-Konten gegenüber PowerShell?

  • Sichere Verwaltung von Daten:
    In ADSelfService Plus werden sensible Informationen wie die Anmeldedaten des Benutzers nicht gespeichert. Das oben genannte PowerShell-Skript erfordert – im Gegensatz dazu – die Speicherung der Anmeldedaten des Benutzers im Skript.
  • Wählen Sie aus, welche Konten automatisch freigeschaltet werden können:
    In ADSelfService Plus können Administratoren genau festlegen, welche Konten in einer bestimmten Domain, Organisationseinheit oder Gruppe automatisch entsperrt werden sollen, wenn deren Benutzer sich ausgesperrt haben. Falls Sie PowerShell verwenden möchten, um die Konten bestimmter Benutzer automatisch zu entsperren, ist die Erstellung und Verwaltung eines umfangreichen Skripts erforderlich.
  • Synchronisieren Sie Änderungen an Benutzerkonten automatisch mit allen Domain-Controllern:
    Sobald ein Benutzer mit ADSelfService Plus entsperrt wurde, wird dessen Kontostatus automatisch mit allen Domänen-Controllern in der AD-Domäne synchronisiert.
  • Synchronisieren Sie Entsperrungen mit integrierten Unternehmensanwendungen:
    Wenn Anwender ihre Benutzerkonten mit ADSelfService Plus entsperren, werden gesperrte Benutzerkonten in den für die Passwortsynchronisierung integrierten Unternehmensanwendungen ebenfalls automatisch entsperrt.
  • Audits für Password Resets und andere Aktionen:
    Mit ADSelfService Plus werden Aktionen wie das automatische Entsperren von Konten, die Self-Service-Aktionen, die Registrierung und die Identitätsüberprüfung auditiert und können mit wenigen Klicks in Form von Berichten abgerufen werden.
  • Benachrichtigung des Administrators:
    Administratoren können sich mit ADSelfService Plus automatisch per E-Mail und SMS über das Zurücksetzen von Passwörtern oder andere Aktionen wie die Entsperrung von Konten, die Änderung von Passwörtern und die Registrierung neuer Anwender informieren lassen.

ManageEngine – Support & Kontakt


MicroNova AG
Unterfeldring 6
85256 Vierkirchen

Vertrieb
   +49 8139 9300-456
   Sales-ManageEngine@micronova.de

Technische Unterstützung
   Support kontaktieren