Terakhir kali seorang pengguna AD login?

26

Saya perhatikan bahwa kita memiliki dalam Active Directory lebih banyak pengguna daripada perusahaan memiliki karyawan yang sebenarnya.

Apakah ada cara sederhana untuk memeriksa beberapa akun Direktori Aktif dan melihat apakah ada akun yang belum digunakan untuk sementara waktu? Ini akan membantu saya menentukan apakah beberapa akun harus dinonaktifkan atau dihapus.

active-directory Jindrich
sumber
Jika Anda menggunakan AD Snapin di MMC, dan Anda dapat melihat objek pengguna, maka Anda akan mendapatkan tab untuk "editor atribut" di mana Anda dapat melihat atribut untuk "lastLogin".
bgmCoder

Jawaban:

22

Cookbook Direktori Aktif O'Reiley memberikan penjelasan di bab 6:

6.28.1 Masalah: Anda ingin menentukan pengguna mana yang belum masuk baru-baru ini.

6.28.2 Solusi

6.28.2.1 Menggunakan antarmuka pengguna grafis

  1. Buka snap-in Pengguna dan Komputer Direktori Aktif.
  2. Di panel kiri, klik kanan pada domain dan pilih Temukan.
  3. Di sebelah Find, pilih Common Queries.
  4. Pilih jumlah hari di samping Hari sejak masuk terakhir.
  5. Klik tombol Temukan Sekarang.

6.28.2.2 Menggunakan antarmuka baris perintah

pengguna dsquery -inaktif <NumWeeks>

Untuk mendapatkan informasi lebih lanjut, lihat resep 6.28

Alexey Shatygin
sumber
1
+1 Saya telah menghindari menyiangi iklan karena saya tidak tahu caranya. Terima kasih.
cop1152
Jangan mengandalkan akun usang yang selalu tidak aktif. Seringkali akun "test" dibuat untuk digunakan oleh unit test atau sebagai akun sekunder untuk pengguna yang valid. Akun-akun ini mungkin tidak tampak tidak aktif tetapi harus dihapus karena memberikan akses yang tidak diaudit ke sistem.
Chris Nava
1
Ini hanya berfungsi jika hutan / domain 2003 Asli atau di atas, omong-omong. Sebelum 2003, DC memiliki catatan login terakhir terakhir untuk setiap pengguna. Dumpsec (disebutkan di bawah) cukup baik untuk mendapatkan logon benar terakhir dengan mengirim spam ke setiap pengontrol domain dan mengumpulkan daftar siapa yang masuk saat di DC masing-masing.
marty
@marty Mudah-mudahan, tidak terlalu banyak instalasi pra-2003 yang tersisa, karena Server 2003 adalah akhir dari kehidupan.
Joel Coel
6

Skrip ini berasal dari http://synjunkie.blogspot.com/2008/08/powershell-finding-unused-ad-ad-accounts.html ; URL ini tidak lagi berfungsi pada 7 Desember 2015. Anda dapat menampilkan info ini ke file CSV, yang dapat Anda lihat / filter di Excel.

get-qaduser * -sizelimit 0 | select -property name,accountexpires,pass*,accountisdisabled,lastlog*,canonicalname | export-csv -path d:\Passwords.csv
JohnW
sumber
Dengan asumsi Anda tidak ingin #Type blah blah blahdi awal file CSV Anda, gunakan -notypeparameter padaexport-csv
northben
URL rusak. :(
Signal15
URL rusak tetapi Anda masih dapat mengakses arsipnya: Powershell - Menemukan Akun AD yang Tidak
Digunakan
3

Perlu dicatat bahwa waktu masuk terakhir yang disimpan pada setiap pengontrol domain tidak direplikasi di antara pengontrol domain, sebenarnya ada dua atribut yang menyimpan waktu masuk terakhir, satu direplikasi tetapi hanya setiap 14 (saya pikir). Jika waktu yang akurat penting bagi Anda, saya akan menggunakan alat bagian ketiga yang menanyakan setiap pengontrol domain (kami memiliki 90!), Kami telah menggunakan alat yang disebut True Last Logon , saya dapat merekomendasikannya.

Scott Johansen
sumber
0

Saya menggunakan DumpSec, alat freeware dari Somarsoft untuk ini: DumpSec Berguna untuk menemukan akun komputer basi :)


sumber
0

Saat Anda melewati proses ini, dokumentasikan, dengan kedua langkah yang Anda jalankan, dan akun yang Anda nonaktifkan / hapus. Pada titik tertentu, auditor akan bertanya kepada Anda bagaimana Anda menghapus akun lama, dan Anda akan memerlukan dokumentasi.

BillN
sumber
0

Metode / saran yang sangat cepat dan kotor:

Tetapkan setiap kata sandi akun yang dicurigai akan kedaluwarsa dan perlu diatur ulang saat login berikutnya. Tempatkan tanda bintang di bidang deskripsi masing-masing akun. Tunggu sekitar satu minggu, periksa kembali akun Anda yang ditandai untuk melihat mana yang masih memerlukan pengaturan ulang kata sandi. Nonaktifkan pelanggar, tunggu panggilan helpdesk, aktifkan kembali yang sedang berlibur.

Yang lainnya:

Bergantian Anda juga dapat mengirim daftar pengguna yang dicurigai ke departemen SDM / personalia Anda dan melihat apakah ada di antara mereka yang memverifikasi bahwa mereka memang masih bekerja.

Satu lagi:

Akhirnya, saya percaya bahwa jika Anda membuka "Pengguna dan Komputer Direktori Aktif" dan memperluas alat Kueri AD, Anda dapat membuat kueri yang merinci apa yang Anda cari.

Greg Meehan
sumber