Frage das letzte Mal, dass sich ein AD-Benutzer angemeldet hat?


Dieser zwischen 100 sch sch sch sch sch sch sch sch sch sch 100 sch sch sch sch sch sch sch 100 100 sch sch sch sch sch sch sch sch sch sch sch sch sch sch sch 100 sch sch sch sch 100 100 sch sch sch 100 sch sch sch 100 sch sch sch 100 sch sch sch 100 sch sch sch 100 sch sch sch 100 sch sch sch 100 sch sch sch sch sch sch sch sch 100 sch sch sch 100 sch dieser

Gibt es eine einfache Möglichkeit, mehrere Active Directory-Konten zu überprüfen und festzustellen, ob Konten vorhanden sind, die längere Zeit nicht verwendet wurden? Dies sollte mir helfen festzustellen, ob einige Konten deaktiviert oder gelöscht werden sollten.


25
2018-06-06 14:40


Ursprung


Wenn Sie das AD-Snapin in der MMC verwenden und das Benutzerobjekt anzeigen können, erhalten Sie eine Registerkarte für den "Attributeditor", in der Sie das Attribut für "lastLogin" sehen können. - bgmCoder


Antworten:


O'Reiley's Active Directory Cookbook gibt eine Erklärung in Kapitel 6:

6.28.1 Problem: Sie möchten ermitteln, welche Benutzer sich in letzter Zeit nicht angemeldet haben.

6.28.2 Lösung

6.28.2.1 Verwenden einer grafischen Benutzeroberfläche

  1. Öffnen Sie das Snap-In Active Directory-Benutzer und -Computer.
  2. Klicken Sie im linken Bereich mit der rechten Maustaste auf die Domäne und wählen Sie Suchen.
  3. Wählen Sie neben Suche allgemeine Abfragen aus.
  4. Wählen Sie die Anzahl der Tage neben Tagen seit der letzten Anmeldung aus.
  5. Klicken Sie auf die Schaltfläche Jetzt suchen.

6.28.2.2 Verwenden einer Befehlszeilenschnittstelle

dsquery user -inactive <NumWeeks>

Weitere Informationen finden Sie in Rezept 6.28


22
2018-06-06 14:54



+1 Ich habe es vermieden, die AD zu jäten, weil ich nicht wusste, wie. Vielen Dank. - cop1152
Zählen Sie nicht auf veraltete Konten, die immer inaktiv sind. Häufig werden "Test" -Konten zur Verwendung durch Komponententests oder als sekundäre Konten für gültige Benutzer erstellt. Diese Konten scheinen nicht inaktiv zu sein, sollten jedoch gelöscht werden, da sie ungeprüften Zugriff auf Systeme ermöglichen. - Chris Nava
Dies funktioniert nur, wenn die Gesamtstruktur / Domäne 2003 Native oder höher ist. Vor 2003 hatte der DC eine eigene Aufzeichnung der letzten Anmeldung für jeden Benutzer. Dumpsec (unten erwähnt) ist ziemlich gut, um die letzte echte Anmeldung durch Spammen jedes Domänencontrollers zu erhalten, und erstellt eine Liste der Benutzer, die sich an jedem Domänencontroller angemeldet haben. - marty
@marty Hoffentlich nicht zu viele vor 2003 Installationen, da Server 2003 Ende des Lebens ist. - Joel Coel


Dieses Skript stammt aus http://synjunkie.blogspot.com/2008/08/powershell-finding-unused-ad-accounts.html ; Diese URL funktioniert nicht mehr ab dem 7. Dezember 2015. Sie können diese Informationen in eine CSV-Datei ausgeben, die Sie in Excel anzeigen / filtern können.

get-qaduser * -sizelimit 0 | select -property name,accountexpires,pass*,accountisdisabled,lastlog*,canonicalname | export-csv -path d:\Passwords.csv

6
2018-06-06 14:56



Hervorragender Powershell-Einsatz - Danke für den Tipp! - marc_s
Vorausgesetzt du willst nicht #Type blah blah blah Verwenden Sie zu Beginn Ihrer CSV-Datei den Befehl -notype Parameter an export-csv - northben
Die URL ist fehlerhaft. :( - Signal15
Die URL ist beschädigt, Sie können jedoch weiterhin auf ein Archiv zugreifen: Powershell - Ungenutzte AD Accounts finden - PeteWiFi


Es ist erwähnenswert, dass die letzte Anmeldezeit, die auf jedem Domänencontroller gespeichert ist, nicht zwischen Domänencontrollern repliziert wird. Es gibt zwei Attribute, die die letzte Anmeldezeit speichern, eine wird repliziert, aber nur alle 14 (glaube ich). Wenn eine genaue Zeit für Sie wichtig ist, würde ich ein Third-Part-Tool verwenden, das jeden Domain-Controller abfragt (wir haben 90!), Wir haben ein Tool namens aufgerufen Wahre letzte AnmeldungIch kann es empfehlen.


3
2018-05-21 17:53





Sch sch 100 sch 100 sch 100 sch 100 sch 100 sch 100 sch 100 sch 100 sch 100 sch 100 sch sch sch 100 sch 100 100 100 100 100 sch 100 dieser sch sch sch 100 100 100 100 100 100 100 100 100 100 100 100 sch 100 100 sch zwischen sch sch 100 sch dieser sch sch 100 100 100 100 100 sch dieser sch sch 100 100 sch 100 100 100 sch dieser sch sch 100 sch sch sch sch sch sch dieser DumpSec Nützlich, um veraltete Computerkonten zu finden :)


0
2018-06-06 15:12





Wenn Sie diesen Prozess durchlaufen, dokumentieren Sie ihn sowohl mit den Schritten, die Sie ausführen, als auch mit den Konten, die Sie deaktivieren / löschen. Irgendwann wird ein Auditor Sie fragen, wie Sie alte Accounts löschen, und Sie werden die Dokumentation benötigen.


0
2018-06-06 15:43





Eine sehr schnelle und schmutzige Methode / Vorschlag:

Legen Sie fest, dass das Passwort für jedes verdächtige Konto abläuft und bei der nächsten Anmeldung zurückgesetzt werden muss. Setzen Sie ein Sternchen in das Beschreibungsfeld jedes Kontos. Warten Sie eine Woche oder so, überprüfen Sie erneut Ihre markierten Konten, um zu sehen, welche noch das Passwort zurücksetzen müssen. Deaktivieren Sie die Täter, warten Sie auf Helpdesk-Anrufe, aktivieren Sie diejenigen, die im Urlaub waren.

Noch einer:

Alternativ können Sie auch eine Liste verdächtiger Benutzer an Ihre Personal- / Personalabteilung senden und sehen, ob einige von ihnen bestätigen, dass sie tatsächlich noch beschäftigt sind.

Einer noch:

Schließlich glaube ich, dass Sie, wenn Sie "Active Directory-Benutzer und -Computer" öffnen und das AD-Abfrage-Tool erweitern, eine Abfrage erstellen können, die genau angibt, wonach Sie suchen.


0
2018-06-06 16:14