it-swarm.com.de

Das letzte Mal, als sich ein AD-Benutzer angemeldet hat?

Ich habe festgestellt, dass wir in Active Directory mehr Benutzer haben als das Unternehmen tatsächlich Mitarbeiter hat.

Gibt es eine einfache Möglichkeit, mehrere Active Directory-Konten zu überprüfen und festzustellen, ob Konten vorhanden sind, die eine Weile nicht verwendet wurden? Dies sollte mir helfen, festzustellen, ob einige Konten deaktiviert oder gelöscht werden sollen.

26
Jindrich

Das Active Directory-Kochbuch von O'Reiley enthält eine Erklärung in Kapitel 6:

6.28.1 Problem: Sie möchten feststellen, welche Benutzer sich in letzter Zeit nicht angemeldet haben.

6.28.2 Lösung

6.28.2.1 Verwenden einer grafischen Benutzeroberfläche

  1. Öffnen Sie das Snap-In Active Directory-Benutzer und -Computer.
  2. Klicken Sie im linken Bereich mit der rechten Maustaste auf die Domäne und wählen Sie Suchen.
  3. Wählen Sie neben Suchen die Option Allgemeine Abfragen aus.
  4. Wählen Sie die Anzahl der Tage neben Tage seit der letzten Anmeldung.
  5. Klicken Sie auf die Schaltfläche Jetzt suchen.

6.28.2.2 Verwenden einer Befehlszeilenschnittstelle

dsquery user -inactive <NumWeeks>

Weitere Informationen finden Sie in Rezept 6.28

22
Alexey Shatygin

Dieses Skript stammt von http://synjunkie.blogspot.com/2008/08/powershell-finding-unused-ad-accounts.html ; Diese URL funktioniert ab dem 7. Dezember 2015 nicht mehr. Sie können diese Informationen in eine CSV-Datei ausgeben, die Sie in Excel anzeigen/filtern können.

get-qaduser * -sizelimit 0 | select -property name,accountexpires,pass*,accountisdisabled,lastlog*,canonicalname | export-csv -path d:\Passwords.csv
6
JohnW

Es ist erwähnenswert, dass die letzte auf jedem Domänencontroller gespeicherte Anmeldezeit nicht zwischen Domänencontrollern repliziert wird. Es gibt tatsächlich zwei Attribute, die die letzte Anmeldezeit speichern. Eines wird repliziert, aber nur alle 14 (glaube ich). Wenn Ihnen eine genaue Zeit wichtig ist, würde ich ein Tool des dritten Teils verwenden, das jeden Domänencontroller abfragt (wir haben 90!). Wir haben ein Tool namens True Last Logon verwendet. Ich kann es empfehlen.

3
Scott Johansen

Ich verwende dafür DumpSec, ein Freeware-Tool von Somarsoft: DumpSec Nützlich, um veraltete Computerkonten zu finden :)

0
Zocalo

Dokumentieren Sie diesen Vorgang sowohl mit den von Ihnen ausgeführten Schritten als auch mit den Konten, die Sie deaktivieren/löschen. Irgendwann werden Sie von einem Prüfer gefragt, wie Sie alte Konten entfernen, und Sie benötigen die Dokumentation.

0
BillN

Eine sehr schnelle und schmutzige Methode/Vorschlag:

Stellen Sie das Kennwort jedes verdächtigen Kontos so ein, dass es abläuft und bei der nächsten Anmeldung zurückgesetzt werden muss. Setzen Sie ein Sternchen in das Beschreibungsfeld jedes Kontos. Warten Sie ungefähr eine Woche und überprüfen Sie Ihre gekennzeichneten Konten erneut, um festzustellen, bei welchen Konten das Kennwort noch zurückgesetzt werden muss. Deaktivieren Sie die Täter, warten Sie auf Helpdesk-Anrufe und aktivieren Sie diejenigen, die im Urlaub waren.

Noch einer:

Alternativ können Sie auch eine Liste verdächtiger Benutzer an Ihre Personal-/Personalabteilung senden und prüfen, ob einer von ihnen überprüft, ob sie tatsächlich noch beschäftigt sind.

Einer noch:

Schließlich glaube ich, dass Sie, wenn Sie "Active Directory-Benutzer und -Computer" öffnen und das AD-Abfragetool erweitern, eine Abfrage erstellen können, die genau beschreibt, wonach Sie suchen.

0
Greg Meehan