sviluppo-web-qa.it

l'ultima volta che un utente AD ha effettuato l'accesso?

Ho notato che in Active Directory abbiamo più utenti di quanti siano i dipendenti dell'azienda.

Esiste un modo semplice per controllare più account di Active Directory e vedere se ci sono account che non sono stati utilizzati per un po '? Ciò dovrebbe aiutarmi a determinare se alcuni account devono essere disabilitati o eliminati.

26
Jindrich

Il ricettario di Active Directory di O'Reiley fornisce una spiegazione nel capitolo 6:

6.28.1 Problema: si desidera determinare quali utenti non hanno effettuato l'accesso di recente.

6.28.2 Soluzione

6.28.2.1 Utilizzo di un'interfaccia utente grafica

  1. Aprire lo snap-in Utenti e computer di Active Directory.
  2. Nel riquadro sinistro, fai clic con il pulsante destro del mouse sul dominio e seleziona Trova.
  3. Accanto a Trova, seleziona Query comuni.
  4. Seleziona il numero di giorni accanto a Giorni dall'ultimo accesso.
  5. Fai clic sul pulsante Trova.

6.28.2.2 Utilizzo di un'interfaccia della riga di comando

dsquery user -inactive <NumWeeks>

Per ulteriori informazioni, vedere la ricetta 6.28

22
Alexey Shatygin

Questo script ha avuto origine da http://synjunkie.blogspot.com/2008/08/powershell-finding-unused-ad-accounts.html ; questo URL non funziona più dal 7 dicembre 2015. Puoi generare queste informazioni in un file CSV, che puoi visualizzare/filtrare in Excel.

get-qaduser * -sizelimit 0 | select -property name,accountexpires,pass*,accountisdisabled,lastlog*,canonicalname | export-csv -path d:\Passwords.csv
6
JohnW

Vale la pena notare che l'ultimo tempo di accesso archiviato su ciascun controller di dominio non viene replicato tra i controller di dominio, in effetti ci sono due attributi che memorizzano l'ultimo tempo di accesso, uno viene replicato ma solo ogni 14 (credo). Se per te è importante un momento preciso, utilizzerei uno strumento di terze parti che interroga ogni controller di dominio (ne abbiamo 90!), Abbiamo usato uno strumento chiamato True Last Logon , posso consigliarlo.

3
Scott Johansen

Uso DumpSec, uno strumento freeware di Somarsoft per questo: DumpSec Utile per trovare account di computer obsoleti :)

0
Zocalo

Durante questo processo, documentalo, sia con i passaggi che esegui, sia con gli account che disabiliti/elimini. Ad un certo punto un revisore ti chiederà come rimuovere i vecchi account e avrai bisogno della documentazione.

0
BillN

Un metodo/suggerimento molto veloce e sporco:

Impostare la password di ciascun account sospetto in scadenza e richiedere il ripristino al successivo accesso. Inserisci un asterisco nel campo della descrizione di ciascun account. Attendi circa una settimana, ricontrolla i tuoi account contrassegnati per vedere quali richiedono ancora la reimpostazione della password. Disabilita i trasgressori, attendi le chiamate dell'helpdesk, riattiva quelli che erano in vacanza.

Un altro:

In alternativa, potresti anche inviare un elenco di sospetti utenti al tuo dipartimento Risorse umane/personale e vedere se qualcuno di loro verificherà che in realtà sono ancora impiegati.

Ancora uno:

Infine, credo che se apri "Utenti e computer di Active Directory" ed espandi lo strumento Query AD, puoi creare una query che dettaglia ciò che stai cercando.

0
Greg Meehan