последний раз, когда пользователь AD вошел в систему?

26

Я заметил, что у нас в Active Directory больше пользователей, чем у сотрудников компании.

Есть ли простой способ проверить несколько учетных записей Active Directory и посмотреть, есть ли учетные записи, которые не использовались в течение некоторого времени? Это должно помочь мне определить, следует ли отключить или удалить некоторые учетные записи.

Jindrich
источник
Если вы используете оснастку AD в MMC и можете просматривать объект пользователя, вы получите вкладку для «редактора атрибутов», в которой вы можете увидеть атрибут «lastLogin».
bgmCoder 9.09.15

Ответы:

22

Поваренная книга О'Рейли Active Directory дает объяснение в главе 6:

6.28.1 Проблема: Вы хотите определить, какие пользователи не вошли в систему недавно.

6.28.2 Решение

6.28.2.1 Использование графического интерфейса пользователя

  1. Откройте оснастку «Active Directory - пользователи и компьютеры».
  2. На левой панели щелкните правой кнопкой мыши домен и выберите «Найти».
  3. Рядом с Find, выберите Common Queries.
  4. Выберите количество дней рядом с Днями с момента последнего входа в систему.
  5. Нажмите кнопку «Найти сейчас».

6.28.2.2 Использование интерфейса командной строки

dsquery user -inactive <NumWeeks>

Для получения дополнительной информации см. Рецепт 6.28.

Алексей Шатыгин
источник
1
+1 Я избегал прополки АД, потому что не знал как. Спасибо.
cop1152
Не рассчитывайте, что устаревшие аккаунты всегда будут неактивными. Часто «тестовые» учетные записи создаются для использования модульными тестами или в качестве дополнительных учетных записей для действительных пользователей. Эти учетные записи могут показаться неактивными, но их следует удалить, поскольку они предоставляют неаудированный доступ к системам.
Крис Нава
1
Кстати, это работает только в том случае, если лес / домен 2003 Native или выше. До 2003 года DC имел собственную запись последнего входа в систему для каждого пользователя. Dumpsec (упомянутый ниже) очень полезен для получения последнего истинного входа в систему путем рассылки спама каждому контроллеру домена и составления списка тех, кто вошел в систему, когда на каждом контроллере домена.
Март
@marty Надеюсь, осталось не так много установок до 2003 года, так как Server 2003 - это конец жизни.
Джоэл Коэль
6

Этот скрипт был создан по адресу http://synjunkie.blogspot.com/2008/08/powershell-finding-unused-ad-accounts.html ; этот URL больше не работает с 7 декабря 2015 г. Вы можете вывести эту информацию в файл CSV, который вы можете просмотреть / отфильтровать в Excel.

get-qaduser * -sizelimit 0 | select -property name,accountexpires,pass*,accountisdisabled,lastlog*,canonicalname | export-csv -path d:\Passwords.csv
JohnW
источник
Предполагая, что вы не хотите #Type blah blah blahв начале вашего CSV-файла, используйте -notypeпараметр onexport-csv
northben
URL не работает. :(
Signal15
URL не работает, но вы все равно можете получить доступ к его архиву: Powershell - Поиск неиспользуемых учетных записей AD
PeteWiFi
3

Стоит отметить, что время последнего входа в систему, хранящееся на каждом контроллере домена, не реплицируется между контроллерами домена, на самом деле есть два атрибута, которые хранят время последнего входа в систему, один реплицируется, но только каждые 14 (я думаю). Если для вас важно точное время, я бы использовал инструмент третьей части, который запрашивает каждый контроллер домена (у нас 90!), Мы использовали инструмент под названием True Last Logon , я могу его порекомендовать.

Скотт Йохансен
источник
0

Я использую DumpSec, бесплатный инструмент от Somarsoft для этого: DumpSec Полезно для поиска устаревших учетных записей компьютера :)


источник
0

По мере прохождения этого процесса документируйте его как с выполняемыми вами шагами, так и с учетными записями, которые вы отключите / удалите. В какой-то момент аудитор спросит вас, как удалить старые учетные записи, и вам понадобится документация.

BillN
источник
0

Очень быстрый и грязный метод / предложение:

Установите срок действия пароля каждой подозреваемой учетной записи и потребуется сброс при следующем входе в систему. Поместите звездочку в поле описания каждой учетной записи. Подождите неделю или около того, перепроверьте свои помеченные учетные записи, чтобы узнать, какие из них все еще требуют сброса пароля. Отключите нарушителей, дождитесь звонков в службу поддержки, включите тех, кто был в отпуске.

Другой:

Кроме того, вы также можете отправить список подозреваемых пользователей в свой отдел кадров / кадров и посмотреть, если какой-либо из них подтвердит, что они на самом деле, все еще работают.

Еще:

Наконец, я считаю, что если вы откроете «Active Directory - пользователи и компьютеры» и развернете инструмент запросов AD, вы сможете создать запрос, в котором будет подробно указано, что вы ищете.

Грег Михан
источник