l'ultima volta che un utente AD ha effettuato l'accesso?

26

Ho notato che in Active Directory abbiamo più utenti di quanti siano i dipendenti dell'azienda.

Esiste un modo semplice per controllare più account di Active Directory e vedere se ci sono account che non sono stati utilizzati per un po '? Ciò dovrebbe aiutarmi a determinare se alcuni account devono essere disabilitati o eliminati.

active-directory 
Jindrich
fonte
Se si utilizza lo Snapin AD in MMC e si è in grado di visualizzare l'oggetto utente, si otterrà una scheda per "editor di attributi" in cui è possibile visualizzare l'attributo per "lastLogin".
bgmCoder

Risposte:

22

Il ricettario di Active Directory di O'Reiley fornisce una spiegazione nel capitolo 6:

6.28.1 Problema: si desidera determinare quali utenti non hanno effettuato l'accesso di recente.

6.28.2 Soluzione

6.28.2.1 Utilizzo di un'interfaccia utente grafica

  1. Aprire lo snap-in Utenti e computer di Active Directory.
  2. Nel riquadro sinistro, fai clic con il pulsante destro del mouse sul dominio e seleziona Trova.
  3. Accanto a Trova, seleziona Query comuni.
  4. Seleziona il numero di giorni accanto a Giorni dall'ultimo accesso.
  5. Fai clic sul pulsante Trova.

6.28.2.2 Utilizzo di un'interfaccia della riga di comando

dsquery user -inactive <NumWeeks>

Per ulteriori informazioni, vedere la ricetta 6.28

Alexey Shatygin
fonte
1
+1 Ho evitato di diserbare l'AD perché non sapevo come. Grazie.
cop1152,
Non contare su account obsoleti sempre inattivi. Spesso gli account "test" vengono creati per essere utilizzati dai test unitari o come account secondari per utenti validi. Questi account potrebbero non sembrare inattivi ma devono essere eliminati in quanto forniscono accesso non certificato ai sistemi.
Chris Nava,
1
Questo funziona solo se la foresta / dominio è nativo del 2003 o superiore, a proposito. Prima del 2003 il DC aveva il proprio record dell'ultimo accesso per ciascun utente. Dumpsec (menzionato di seguito) è abbastanza buono per ottenere l'ultimo vero accesso inviando spam a ciascun controller di dominio e mette insieme un elenco di chi ha effettuato l'accesso in ogni controller di dominio.
Marty,
@marty Speriamo che non siano rimaste troppe installazioni precedenti al 2003, poiché Server 2003 è in esaurimento.
Joel Coel,
6

Questo script è nato da http://synjunkie.blogspot.com/2008/08/powershell-finding-unused-ad-accounts.html ; questo URL non funziona più dal 7 dicembre 2015. Puoi generare queste informazioni in un file CSV, che puoi visualizzare / filtrare in Excel.

get-qaduser * -sizelimit 0 | select -property name,accountexpires,pass*,accountisdisabled,lastlog*,canonicalname | export-csv -path d:\Passwords.csv
johnw
fonte
Supponendo che non desideri #Type blah blah blahall'inizio del tuo file CSV, usa il -notypeparametro onexport-csv
northben
L'URL è rotto. :(
Signal15
L'URL è rotto ma è ancora possibile accedervi: Powershell - Trovare account AD inutilizzati
PeteWiFi
3

Vale la pena notare che l'ultimo orario di accesso archiviato su ciascun controller di dominio non viene replicato tra i controller di dominio, in realtà ci sono due attributi che memorizzano l'ultimo orario di accesso, uno viene replicato ma solo ogni 14 (credo). Se per te è importante un tempo preciso, utilizzerei uno strumento di terze parti che interroga ogni controller di dominio (ne abbiamo 90!), Abbiamo usato uno strumento chiamato True Last Logon , posso consigliarlo.

Scott Johansen
fonte
0

Uso DumpSec, uno strumento freeware di Somarsoft per questo: DumpSec Utile per trovare account di computer obsoleti :)

0

Durante questo processo, documentalo, sia con i passaggi che esegui, sia con gli account che disabiliti / elimini. Ad un certo punto un revisore ti chiederà come rimuovere i vecchi account e avrai bisogno della documentazione.

BillN
fonte
0

Un metodo / suggerimento molto veloce e sporco:

Impostare la password di ciascun account sospetto in scadenza e richiedere il ripristino al successivo accesso. Inserisci un asterisco nel campo della descrizione di ciascun account. Attendi circa una settimana, ricontrolla i tuoi account contrassegnati per vedere quali richiedono ancora la reimpostazione della password. Disabilita i trasgressori, attendi le chiamate dell'helpdesk, riattiva quelli che erano in vacanza.

Un altro:

In alternativa, potresti anche inviare un elenco di sospetti utenti al tuo dipartimento Risorse umane / personale e vedere se qualcuno di loro verificherà che in realtà sono ancora impiegati.

Ancora uno:

Infine, credo che se apri "Utenti e computer di Active Directory" ed espandi lo strumento Query AD, puoi creare una query che dettaglia ciò che stai cercando.

Greg Meehan
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.