ostatni raz użytkownik AD zalogował się?

26

Zauważyłem, że w Active Directory mamy więcej użytkowników niż firma ma faktycznych pracowników.

Czy istnieje prosty sposób sprawdzenia wielu kont usługi Active Directory i sprawdzenia, czy istnieją konta, które nie były używane przez jakiś czas? Pomoże mi to ustalić, czy niektóre konta powinny zostać wyłączone, czy usunięte.

Jindrich
źródło
Jeśli użyjesz AD Snapin w MMC i jesteś w stanie zobaczyć obiekt użytkownika, otrzymasz zakładkę „edytor atrybutów”, w której możesz zobaczyć atrybut dla „lastLogin”.
bgmCoder

Odpowiedzi:

22

Książka kucharska Active Directory O'Reiley'a wyjaśnia w rozdziale 6:

6.28.1 Problem: Chcesz ustalić, którzy użytkownicy nie logowali się ostatnio.

6.28.2 Rozwiązanie

6.28.2.1 Korzystanie z graficznego interfejsu użytkownika

  1. Otwórz przystawkę Użytkownicy i komputery usługi Active Directory.
  2. W lewym okienku kliknij domenę prawym przyciskiem myszy i wybierz Znajdź.
  3. Obok Znajdź wybierz Typowe zapytania.
  4. Wybierz liczbę dni obok Dni od ostatniego logowania.
  5. Kliknij przycisk Znajdź teraz.

6.28.2.2 Korzystanie z interfejsu wiersza polecenia

dsquery user -inactive <NumWeeks>

Aby uzyskać więcej informacji, patrz przepis 6.28

Alexey Shatygin
źródło
1
+1 Unikałem pielenia AD, ponieważ nie wiedziałem, jak to zrobić. Dzięki.
cop1152
Nie licz na to, że przestarzałe konta zawsze będą nieaktywne. Często tworzone są konta „testowe” na potrzeby testów jednostkowych lub kont dodatkowych dla ważnych użytkowników. Konta te mogą wydawać się nieaktywne, ale powinny zostać usunięte, ponieważ zapewniają niezbadany dostęp do systemów.
Chris Nava,
1
Nawiasem mówiąc, działa to tylko wtedy, gdy las / domena ma format macierzysty 2003 lub wyższy. Przed 2003 r. DC miał własny rejestr ostatniego logowania dla każdego użytkownika. Dumpsec (wspomniany poniżej) jest dość dobry, aby uzyskać ostatnie prawdziwe logowanie, spamując każdy kontroler domeny i zestawiając listę osób logujących się na każdym kontrolerze domeny.
marty
@marty Mam nadzieję, że nie zostało jeszcze zbyt wiele instalacji sprzed 2003 roku, ponieważ Server 2003 jest już wycofany.
Joel Coel,
6

Ten skrypt pochodzi z http://synjunkie.blogspot.com/2008/08/powershell-finding-unused-ad-accounts.html ; ten adres URL nie działa już od 7 grudnia 2015 r. Możesz wyprowadzić te informacje do pliku CSV, który możesz przeglądać / filtrować w programie Excel.

get-qaduser * -sizelimit 0 | select -property name,accountexpires,pass*,accountisdisabled,lastlog*,canonicalname | export-csv -path d:\Passwords.csv
JohnW
źródło
Zakładając, że nie chcesz #Type blah blah blahna początku pliku CSV, użyj -notypeparametru onexport-csv
northben 17.01.2013
URL jest uszkodzony. :(
Signal15
Adres URL jest uszkodzony, ale nadal można uzyskać dostęp do jego archiwum: Powershell - Znajdowanie nieużywanych kont AD
PeteWiFi
3

Warto zauważyć, że czas ostatniego logowania przechowywany na każdym kontrolerze domeny nie jest replikowany między kontrolerami domeny, w rzeczywistości istnieją dwa atrybuty, które przechowują czas ostatniego logowania, jeden jest replikowany, ale tylko co 14 (myślę). Jeśli ważny jest dla ciebie dokładny czas, użyłbym narzędzia trzeciej części, które odpytuje każdy kontroler domeny (mamy 90!), Użyliśmy narzędzia o nazwie True Last Logon , mogę go polecić.

Scott Johansen
źródło
0

Używam do tego DumpSec, darmowego narzędzia Somarsoft: DumpSec Przydatne do wyszukiwania starych kont komputerów :)


źródło
0

W trakcie tego procesu udokumentuj go, wykonując zarówno kroki, jak i konta, które wyłączasz / usuwasz. W pewnym momencie audytor zapyta Cię, jak usunąć stare konta, i będziesz potrzebować dokumentacji.

BillN
źródło
0

Bardzo szybka i brudna metoda / sugestia:

Ustaw hasło każdego podejrzanego konta, aby wygasło i wymaga resetowania przy następnym logowaniu. Umieść gwiazdkę w polu opisu każdego konta. Poczekaj około tygodnia, sprawdź ponownie oflagowane konta, aby sprawdzić, które z nich nadal wymagają resetowania hasła. Wyłącz przestępców, poczekaj na połączenia z działem pomocy technicznej, ponownie włącz te, które były na wakacjach.

Inny:

Alternatywnie możesz również wysłać listę podejrzanych użytkowników do działu personalnego / personalnego i sprawdzić, czy którykolwiek z nich sprawdzi, czy faktycznie są oni nadal zatrudnieni.

Jeszcze jeden:

Wreszcie uważam, że jeśli otworzysz „Użytkownicy i komputery usługi Active Directory” i rozwiniesz narzędzie do wysyłania zapytań AD, możesz utworzyć zapytanie, które szczegółowo opisuje to, czego szukasz.

Greg Meehan
źródło