востаннє користувач AD увійшов?

Я помітив, що в Active Directory у нас більше користувачів, ніж у фактичних працівників.

Чи є простий спосіб перевірити кілька облікових записів Active Directory і перевірити, чи є облікові записи, які не використовувались деякий час? Це повинно допомогти мені визначити, чи потрібно деякі облікові записи вимкнути чи видалити.

Кулінарна книга Active Directory O'Reiley дає пояснення у розділі 6:

6.28.1 Проблема: Ви хочете визначити, які користувачі не входили останнім часом.

6.28.2 Розв’язання

6.28.2.1 Використання графічного інтерфейсу користувача

1. Відкрийте оснащення Active Directory користувачів та комп’ютерів.
2. На лівій панелі клацніть правою кнопкою миші домен і виберіть Знайти.
3. Поруч із знаходженням виберіть Загальні запити.
4. Виберіть кількість днів поруч із днями з моменту останнього входу.
5. Натисніть кнопку Знайти зараз.

6.28.2.2 Використання інтерфейсу командного рядка

dsquery user -inactive <NumWeeks>

Для отримання додаткової інформації дивіться рецепт 6.28

Цей сценарій походить від http://synjunkie.blogspot.com/2008/08/powershell-finding-unused-ad-accounts.html ; ця URL більше не працює з 7 грудня 2015 року. Ви можете вивести цю інформацію у файл CSV, який ви можете переглянути / відфільтрувати в Excel.

get-qaduser * -sizelimit 0 | select -property name,accountexpires,pass*,accountisdisabled,lastlog*,canonicalname | export-csv -path d:\Passwords.csv

Варто зазначити, що останній час входу, що зберігається на кожному контролері домену, не реплікується між контролерами домену, насправді є два атрибути, які зберігають останній час входу, один реплікується, але лише кожні 14 (я думаю). Якщо для вас важливий точний час, я використовував би інструмент третьої частини, який запитує кожен контролер домену (у нас 90!), Ми використовували інструмент під назвою True Last Logon , я можу його рекомендувати.

Я використовую DumpSec, безкоштовне засіб від Somarsoft цього: DumpSec КОРИСНІ знайти застарілі облікові записи комп'ютерів :)

Проходячи цей процес, документуйте його, виконуючи як кроки, які ви запускаєте, так і облікові записи, які ви відключаєте / видаляєте. У якийсь момент аудитор запитає, як ви видалите старі облікові записи, і вам знадобиться документація.

Дуже швидкий і брудний метод / пропозиція:

Встановіть термін дії кожного підозрюваного пароля облікового запису та потребуйте скидання при наступному вході. Розмістіть зірочку в полі опису кожного облікового запису. Зачекайте тиждень або близько того, перевірте свої облікові записи, щоб побачити, які з них ще потрібно скинути. Відключіть порушників, зачекайте дзвінків служб довідки, ввімкніть знову тих, хто був у відпустці.

Інший:

Ви також можете надіслати список підозрюваних користувачів до відділу кадрів / персоналу та побачити, чи хтось із них перевірить, чи справді вони все ще працюють.

Ще один:

Нарешті, я вважаю, що якщо відкрити "Користувачі та комп’ютери Active Directory" та розгорнути інструмент "Запит AD", ви зможете створити запит, який детально визначає, що ви шукаєте.