pengembangan-web-mp-pd.com

Terakhir kali seorang pengguna AD login?

Saya perhatikan bahwa kita memiliki dalam Active Directory lebih banyak pengguna daripada perusahaan memiliki karyawan yang sebenarnya.

Apakah ada cara sederhana untuk memeriksa beberapa akun Direktori Aktif dan melihat apakah ada akun yang belum digunakan untuk sementara waktu? Ini akan membantu saya menentukan apakah beberapa akun harus dinonaktifkan atau dihapus.

26
Jindrich

Cookbook Direktori Aktif O'Reiley memberikan penjelasan di bab 6:

6.28.1 Masalah: Anda ingin menentukan pengguna mana yang belum masuk baru-baru ini.

6.28.2 Solusi

6.28.2.1 Menggunakan antarmuka pengguna grafis

  1. Buka snap-in Pengguna dan Komputer Direktori Aktif.
  2. Di panel kiri, klik kanan pada domain dan pilih Temukan.
  3. Di sebelah Find, pilih Common Queries.
  4. Pilih jumlah hari di samping Hari sejak masuk terakhir.
  5. Klik tombol Temukan Sekarang.

6.28.2.2 Menggunakan antarmuka baris perintah

pengguna dsquery -inaktif <NumWeeks>

Untuk mendapatkan informasi lebih lanjut, lihat resep 6.28

22
Alexey Shatygin

Skrip ini berasal dari http://synjunkie.blogspot.com/2008/08/powershell-finding-unused-ad-accounts.html ; URL ini tidak lagi berfungsi pada 7 Desember 2015. Anda dapat menampilkan info ini ke file CSV, yang dapat Anda lihat/filter di Excel.

get-qaduser * -sizelimit 0 | select -property name,accountexpires,pass*,accountisdisabled,lastlog*,canonicalname | export-csv -path d:\Passwords.csv
6
JohnW

Perlu dicatat bahwa waktu masuk terakhir yang disimpan pada setiap pengontrol domain tidak direplikasi di antara pengontrol domain, sebenarnya ada dua atribut yang menyimpan waktu masuk terakhir, satu direplikasi tetapi hanya setiap 14 (saya pikir). Jika waktu yang akurat penting bagi Anda, saya akan menggunakan alat bagian ketiga yang menanyakan setiap pengontrol domain (kami memiliki 90!), Kami telah menggunakan alat yang disebut True Last Logon , saya dapat merekomendasikannya.

3
Scott Johansen

Saya menggunakan DumpSec, alat freeware dari Somarsoft untuk ini: DumpSec Berguna untuk menemukan akun komputer basi :)

0
Zocalo

Saat Anda melewati proses ini, dokumentasikan, dengan kedua langkah yang Anda jalankan, dan akun yang Anda nonaktifkan/hapus. Pada titik tertentu, seorang auditor akan bertanya kepada Anda bagaimana Anda menghapus akun lama, dan Anda akan memerlukan dokumentasi.

0
BillN

Metode/saran yang sangat cepat dan kotor:

Tetapkan setiap kata sandi akun yang dicurigai akan kedaluwarsa dan perlu diatur ulang saat login berikutnya. Tempatkan tanda bintang di bidang deskripsi masing-masing akun. Tunggu sekitar satu minggu, periksa kembali akun Anda yang ditandai untuk melihat mana yang masih memerlukan pengaturan ulang kata sandi. Nonaktifkan pelanggar, tunggu panggilan helpdesk, aktifkan kembali yang sedang berlibur.

Yang lainnya:

Sebagai alternatif, Anda juga dapat mengirim daftar pengguna yang dicurigai ke departemen SDM/personalia Anda dan melihat apakah ada di antara mereka yang memverifikasi bahwa mereka memang masih bekerja.

Satu lagi:

Akhirnya, saya percaya bahwa jika Anda membuka "Pengguna dan Komputer Direktori Aktif" dan memperluas alat Kueri AD, Anda dapat membuat kueri yang merinci apa yang Anda cari.

0
Greg Meehan