Я пытаюсь отсеять неактивные учетные записи и обнаружил, что большинство учетных записей были неактивными еще до того, как функциональный уровень нашего домена был повышен до 2003 года. lastLogonTimestamp атрибут <Not Set> на всех этих счетах, и DSQuery User -inactive # не вернет их.
Как мне найти эти неактивные учетные записи?
Если я получу список учетных записей с lastLogonTimestamp <Not Set>, будет ли список надежным индикатором мертвого аккаунта?
Это с моего телефона, так что простите меня, если есть небольшие синтаксические ошибки:
get-aduser -Filter lastlogontimestamp -eq $null -properties lastlogontimestamp
Должен отбросить то, что вы ищете. Нулевое значение LastLogonTimestamp означает, что учетная запись не входила в систему с момента создания DFL, так что это надежный способ их поиска, как вы, кажется, уже догадались.
Вы также должны иметь возможность использовать функцию сохраненных запросов ADUC для поиска этого, хотя я не уверен, какой именно синтаксис вам понадобится для поиска нулевого атрибута - я предпочитаю PowerShell.
OldCmp работает с lastLogonTimeStamp, но также может работать и с pwdLastSet, поэтому, если у вас есть пользователи, которые не установили свой пароль навсегда (и при условии, что вам требуется изменить пароль), это может работать (редактировать) для проверки вашего запроса или запроса, который MDMarra рекомендует.