Назад | Перейти на главную страницу

последний раз, когда пользователь AD входил в систему?

Я заметил, что у нас в Active Directory больше пользователей, чем в компании реальных сотрудников.

Есть ли простой способ проверить несколько учетных записей Active Directory и посмотреть, есть ли какие-либо учетные записи, которые не использовались какое-то время? Это должно помочь мне определить, следует ли отключить или удалить некоторые учетные записи.

Поваренная книга Active Directory О'Рейли дает объяснение в главе 6:

6.28.1 Проблема: вы хотите определить, какие пользователи не входили в систему в последнее время.

6.28.2 Решение

6.28.2.1 Использование графического пользовательского интерфейса

  1. Откройте оснастку «Active Directory - пользователи и компьютеры».
  2. На левой панели щелкните домен правой кнопкой мыши и выберите Найти.
  3. Рядом с «Найти» выберите «Общие запросы».
  4. Выберите количество дней в поле Дней с момента последнего входа в систему.
  5. Нажмите кнопку "Найти сейчас".

6.28.2.2 Использование интерфейса командной строки

dsquery user -inactive <NumWeeks>

Для получения дополнительной информации см. Рецепт 6.28.

Этот сценарий возник из http://synjunkie.blogspot.com/2008/08/powershell-finding-unused-ad-accounts.html ; этот URL-адрес больше не работает с 7 декабря 2015 г. Вы можете вывести эту информацию в файл CSV, который можно просмотреть / отфильтровать в Excel.

get-qaduser * -sizelimit 0 | select -property name,accountexpires,pass*,accountisdisabled,lastlog*,canonicalname | export-csv -path d:\Passwords.csv

Стоит отметить, что время последнего входа в систему, хранящееся на каждом контроллере домена, не реплицируется между контроллерами домена, на самом деле существует два атрибута, которые хранят время последнего входа в систему, один реплицируется, но только каждые 14 (я думаю). Если для вас важно точное время, я бы использовал инструмент третьей части, который запрашивает каждый контроллер домена (у нас их 90!). Мы использовали инструмент под названием Истинный последний вход в систему, Я могу рекомендовать это.

Для этого я использую DumpSec, бесплатный инструмент от Somarsoft: DumpSec Полезно для поиска устаревших учетных записей компьютеров :)

По мере прохождения этого процесса документируйте его как с выполненными шагами, так и с учетными записями, которые вы отключили / удалили. В какой-то момент аудитор спросит вас, как удалить старые учетные записи, и вам понадобится документация.

Очень быстрый и грязный метод / предложение:

Установите срок действия пароля каждой подозрительной учетной записи и потребуйте его сброса при следующем входе. Поместите звездочку в поле описания каждой учетной записи. Подождите неделю или около того, еще раз проверьте свои помеченные учетные записи, чтобы узнать, какие из них все еще нуждаются в сбросе пароля. Отключите нарушителей, дождитесь звонков в службу поддержки, снова включите тех, которые были в отпуске.

Другой:

В качестве альтернативы вы также можете отправить список подозреваемых пользователей в свой отдел кадров / кадров и посмотреть, подтвердит ли кто-нибудь из них, что они действительно все еще работают.

Еще один:

Наконец, я считаю, что если вы откроете «Active Directory Users and Computers» и развернете инструмент AD Query, вы сможете создать запрос, который детализирует то, что вы ищете.