Zuletzt hat sich ein AD-Benutzer angemeldet?

26

Ich habe festgestellt, dass wir in Active Directory mehr Benutzer haben, als das Unternehmen tatsächlich Mitarbeiter hat.

Gibt es eine einfache Möglichkeit, mehrere Active Directory-Konten zu überprüfen und festzustellen, ob Konten vorhanden sind, die längere Zeit nicht verwendet wurden? Dies sollte mir helfen, festzustellen, ob einige Konten deaktiviert oder gelöscht werden sollen.

active-directory Jindrich
quelle
Wenn Sie das AD-Snapin in der MMC verwenden und das Benutzerobjekt anzeigen können, erhalten Sie eine Registerkarte für den "Attribut-Editor", in der Sie das Attribut für "lastLogin" sehen können.
bgmCoder

Antworten:

22

Das Active Directory-Kochbuch von O'Reiley enthält eine Erklärung in Kapitel 6:

6.28.1 Problem: Sie möchten feststellen, welche Benutzer sich in letzter Zeit nicht angemeldet haben.

6.28.2 Lösung

6.28.2.1 Verwenden einer grafischen Benutzeroberfläche

  1. Öffnen Sie das Snap-In Active Directory-Benutzer und -Computer.
  2. Klicken Sie im linken Bereich mit der rechten Maustaste auf die Domäne und wählen Sie Suchen.
  3. Wählen Sie neben Suchen die Option Häufige Abfragen aus.
  4. Wählen Sie die Anzahl der Tage neben Tage seit der letzten Anmeldung aus.
  5. Klicken Sie auf die Schaltfläche Jetzt suchen.

6.28.2.2 Verwenden einer Befehlszeilenschnittstelle

dsquery user -inactive <NumWeeks>

Weitere Informationen finden Sie in Rezept 6.28

Alexey Shatygin
quelle
1
+1 Ich habe es vermieden, die AD zu jäten, weil ich nicht wusste, wie. Vielen Dank.
Cop1152
Rechnen Sie nicht damit, dass veraltete Konten immer inaktiv sind. Häufig werden "Test" -Konten zur Verwendung durch Komponententests oder als sekundäre Konten für gültige Benutzer erstellt. Diese Konten scheinen möglicherweise nicht inaktiv zu sein, sollten jedoch gelöscht werden, da sie ungeprüften Zugriff auf Systeme ermöglichen.
Chris Nava
1
Dies funktioniert übrigens nur, wenn die Gesamtstruktur / Domäne 2003 Native oder höher ist. Vor 2003 hatte der DC für jeden Benutzer eine eigene Aufzeichnung der letzten Anmeldung. Dumpsec (unten erwähnt) ist eine gute Lösung, um die letzte echte Anmeldung zu erhalten, indem jeder Domänencontroller gesperrt und eine Liste der angemeldeten Benutzer auf jedem Domänencontroller erstellt wird.
Martin
@marty Hoffentlich sind nicht mehr zu viele Installationen vor 2003 übrig, da Server 2003 nicht mehr funktioniert.
Joel Coel
6

Dieses Skript stammt von http://synjunkie.blogspot.com/2008/08/powershell-finding-unused-ad-accounts.html ; Diese URL funktioniert ab dem 7. Dezember 2015 nicht mehr. Sie können diese Informationen in eine CSV-Datei ausgeben, die Sie in Excel anzeigen / filtern können.

get-qaduser * -sizelimit 0 | select -property name,accountexpires,pass*,accountisdisabled,lastlog*,canonicalname | export-csv -path d:\Passwords.csv
JohnW
quelle
Angenommen , Sie wollen nicht #Type blah blah blaham Anfang der CSV - Datei, verwenden Sie den -notypeParameter aufexport-csv
northben
Die URL ist fehlerhaft. :(
Signal15
Die URL ist defekt, Sie können jedoch weiterhin auf ein Archiv zugreifen: Powershell - Auffinden nicht verwendeter AD-Konten
PeteWiFi
3

Es ist erwähnenswert, dass die letzte auf jedem Domänencontroller gespeicherte Anmeldezeit nicht zwischen Domänencontrollern repliziert wird. Tatsächlich gibt es zwei Attribute, die die letzte Anmeldezeit speichern. Eines wird repliziert, jedoch nur alle 14 (glaube ich). Wenn Ihnen eine genaue Uhrzeit wichtig ist, würde ich ein Drittanbieter-Tool verwenden, das jeden Domänencontroller abfragt (wir haben 90!). Wir haben ein Tool namens True Last Logon verwendet , das ich empfehlen kann.

Scott Johansen
quelle
0

Ich benutze dafür DumpSec, ein Freeware-Tool von Somarsoft: DumpSec Nützlich, um veraltete Computerkonten zu finden :)


quelle
0

Dokumentieren Sie diesen Vorgang mit den von Ihnen ausgeführten Schritten und den von Ihnen deaktivierten / gelöschten Konten. Irgendwann werden Sie von einem Prüfer gefragt, wie Sie alte Konten entfernen, und Sie benötigen die Dokumentation.

BillN
quelle
0

Eine sehr schnelle und schmutzige Methode / ein Vorschlag:

Stellen Sie das Kennwort jedes verdächtigen Kontos so ein, dass es abläuft und bei der nächsten Anmeldung zurückgesetzt werden muss. Platzieren Sie ein Sternchen im Beschreibungsfeld jedes Kontos. Warten Sie ungefähr eine Woche, und überprüfen Sie Ihre markierten Konten erneut, um festzustellen, für welche noch ein Zurücksetzen des Kennworts erforderlich ist. Deaktivieren Sie die Täter, warten Sie auf Helpdesk-Anrufe und aktivieren Sie diejenigen, die im Urlaub waren.

Noch einer:

Alternativ können Sie auch eine Liste verdächtiger Benutzer an Ihre Personalabteilung senden und prüfen, ob einer von ihnen überprüft, ob er tatsächlich noch beschäftigt ist.

Einer noch:

Schließlich glaube ich, dass Sie, wenn Sie "Active Directory-Benutzer und -Computer" öffnen und das AD-Abfrage-Tool erweitern, eine Abfrage erstellen können, die genau angibt, wonach Sie suchen.

Greg Meehan
quelle