последний раз пользователь AD вошел в систему?
Я заметил, что у нас в Active Directory больше пользователей, чем у сотрудников компании.
Есть ли простой способ проверить несколько учетных записей Active Directory и посмотреть, есть ли учетные записи, которые не использовались в течение некоторого времени? Это должно помочь мне определить, следует ли отключить или удалить некоторые учетные записи.
Поваренная книга О'Рейли Active Directory дает объяснение в главе 6:
6.28.1 Проблема: Вы хотите определить, какие пользователи не вошли в систему недавно.
6.28.2 Решение
6.28.2.1 Использование графического интерфейса пользователя
- Откройте оснастку "Active Directory - пользователи и компьютеры".
- На левой панели щелкните правой кнопкой мыши домен и выберите "Найти".
- Рядом с Find, выберите Common Queries.
- Выберите количество дней рядом с Днями с момента последнего входа в систему.
- Нажмите кнопку "Найти сейчас".
6.28.2.2 Использование интерфейса командной строки
dsquery user -inactive <NumWeeks>
Для получения дополнительной информации см. Рецепт 6.28.
Этот скрипт возник из http://synjunkie.blogspot.com/2008/08/powershell-finding-unused-ad-accounts.html ; этот URL больше не работает с 7 декабря 2015 г. Вы можете вывести эту информацию в файл CSV, который вы можете просмотреть/отфильтровать в Excel.
get-qaduser * -sizelimit 0 | select -property name,accountexpires,pass*,accountisdisabled,lastlog*,canonicalname | export-csv -path d:\Passwords.csv
Стоит отметить, что время последнего входа в систему, сохраненное на каждом контроллере домена, не реплицируется между контроллерами домена, на самом деле есть два атрибута, которые хранят время последнего входа в систему, один реплицируется, но только каждые 14 (я думаю). Если для вас важно точное время, я бы использовал инструмент третьей части, который запрашивает каждый контроллер домена (у нас 90!), Мы использовали инструмент под названием True Last Logon , я могу его порекомендовать.
Для этого я использую DumpSec, бесплатный инструмент от Somarsoft: DumpSec Полезно для поиска устаревших учетных записей компьютеров :)
По мере прохождения этого процесса документируйте его как с выполняемыми вами шагами, так и с учетными записями, которые вы отключаете/удаляете. В какой-то момент аудитор спросит вас, как удалить старые учетные записи, и вам понадобится документация.
Очень быстрый и грязный метод/предложение:
Установите срок действия пароля каждой подозреваемой учетной записи и потребуется сброс при следующем входе в систему. Поместите звездочку в поле описания каждой учетной записи. Подождите неделю или около того, перепроверьте свои помеченные учетные записи, чтобы увидеть, какие из них все еще требуют сброса пароля. Отключите нарушителей, дождитесь звонков в службу поддержки, включите тех, кто был в отпуске.
Другой:
Кроме того, вы также можете отправить список подозреваемых пользователей в свой отдел кадров/кадров и посмотреть, если какой-либо из них подтвердит, что они на самом деле, все еще работают.
Еще:
Наконец, я считаю, что если вы откроете "Active Directory - пользователи и компьютеры" и развернете инструмент запросов AD, вы сможете создать запрос, в котором будет подробно указано, что вы ищете.