Zauważyłem, że w Active Directory mamy więcej użytkowników niż firma ma faktycznych pracowników.
Czy istnieje prosty sposób sprawdzenia wielu kont usługi Active Directory i sprawdzenia, czy istnieją konta, które nie były używane przez jakiś czas? Pomoże mi to ustalić, czy niektóre konta powinny zostać wyłączone, czy usunięte.
active-directory
Jindrich
źródło
źródło
Odpowiedzi:
Książka kucharska Active Directory O'Reiley'a wyjaśnia w rozdziale 6:
6.28.1 Problem: Chcesz ustalić, którzy użytkownicy nie logowali się ostatnio.
6.28.2 Rozwiązanie
6.28.2.1 Korzystanie z graficznego interfejsu użytkownika
6.28.2.2 Korzystanie z interfejsu wiersza polecenia
Aby uzyskać więcej informacji, patrz przepis 6.28
źródło
Ten skrypt pochodzi z http://synjunkie.blogspot.com/2008/08/powershell-finding-unused-ad-accounts.html ; ten adres URL nie działa już od 7 grudnia 2015 r. Możesz wyprowadzić te informacje do pliku CSV, który możesz przeglądać / filtrować w programie Excel.
źródło
#Type blah blah blah
na początku pliku CSV, użyj-notype
parametru onexport-csv
Warto zauważyć, że czas ostatniego logowania przechowywany na każdym kontrolerze domeny nie jest replikowany między kontrolerami domeny, w rzeczywistości istnieją dwa atrybuty, które przechowują czas ostatniego logowania, jeden jest replikowany, ale tylko co 14 (myślę). Jeśli ważny jest dla ciebie dokładny czas, użyłbym narzędzia trzeciej części, które odpytuje każdy kontroler domeny (mamy 90!), Użyliśmy narzędzia o nazwie True Last Logon , mogę go polecić.
źródło
Używam do tego DumpSec, darmowego narzędzia Somarsoft: DumpSec Przydatne do wyszukiwania starych kont komputerów :)
źródło
W trakcie tego procesu udokumentuj go, wykonując zarówno kroki, jak i konta, które wyłączasz / usuwasz. W pewnym momencie audytor zapyta Cię, jak usunąć stare konta, i będziesz potrzebować dokumentacji.
źródło
Bardzo szybka i brudna metoda / sugestia:
Ustaw hasło każdego podejrzanego konta, aby wygasło i wymaga resetowania przy następnym logowaniu. Umieść gwiazdkę w polu opisu każdego konta. Poczekaj około tygodnia, sprawdź ponownie oflagowane konta, aby sprawdzić, które z nich nadal wymagają resetowania hasła. Wyłącz przestępców, poczekaj na połączenia z działem pomocy technicznej, ponownie włącz te, które były na wakacjach.
Inny:
Alternatywnie możesz również wysłać listę podejrzanych użytkowników do działu personalnego / personalnego i sprawdzić, czy którykolwiek z nich sprawdzi, czy faktycznie są oni nadal zatrudnieni.
Jeszcze jeden:
Wreszcie uważam, że jeśli otworzysz „Użytkownicy i komputery usługi Active Directory” i rozwiniesz narzędzie do wysyłania zapytań AD, możesz utworzyć zapytanie, które szczegółowo opisuje to, czego szukasz.
źródło