it-swarm.cn

上一次AD用户登录?

我注意到,Active Directory中的用户数比公司的实际员工数多。

是否有一种简单的方法来检查多个Active Directory帐户,并查看是否有一段时间没有使用过的帐户?这应该可以帮助我确定是应该禁用还是删除某些帐户。

26
Jindrich

O'Reiley的Active Directory食谱在第6章中进行了解释:

6.28.1问题:您想确定哪些用户最近未登录。

6.28.2解决方案

6.28.2.1使用图形用户界面

  1. 打开“ Active Directory用户和计算机”管理单元。
  2. 在左窗格中,右键单击该域,然后选择“查找”。
  3. 在“查找”旁边,选择“常见查询”。
  4. 选择自上次登录以来的天数旁边的天数。
  5. 单击立即查找按钮。

6.28.2.2使用命令行界面

dsquery用户-inactive <NumWeeks>

要获取更多信息,请参见配方6.28

22
Alexey Shatygin

该脚本源自 http://synjunkie.blogspot.com/2008/08/powershell-finding-unused-ad-accounts.html ;自2015年12月7日起,该URL不再可用。您可以将此信息输出到CSV文件,可以在Excel中查看/过滤。

get-qaduser * -sizelimit 0 | select -property name,accountexpires,pass*,accountisdisabled,lastlog*,canonicalname | export-csv -path d:\Passwords.csv
6
JohnW

值得注意的是,每个域控制器上存储的上次登录时间都不会在域控制器之间复制,实际上有两个属性可以存储上次登录时间,一个属性可以复制,但是每14个(我认为)。如果准确的时间对您很重要,那么我将使用第三方工具来查询每个域控制器(我们有90个!),我们使用了一个名为 True Last Logon 的工具,我建议您使用它。

3
Scott Johansen

我为此使用了Somarsoft的免费软件DumpSec: DumpSec 可用于查找过时的计算机帐户:)

0
Zocalo

在执行此过程时,请用运行步骤以及禁用/删除的帐户记录下来。在某个时候,审核员会询问您如何删除旧帐户,并且您需要文档。

0
BillN

一个非常快速和肮脏的方法/建议:

将每个可疑帐户的密码设置为过期,并在下次登录时要求重置。在每个帐户的描述字段中放置一个星号。请等待一周左右,然后重新检查已标记的帐户,以查看哪些帐户仍需要重置密码。禁用违规者,等待服务台呼叫,然后重新启用那些正在休假的人。

另一个:

或者,您也可以将可疑用户列表发送给您的人事/人事部门,查看其中是否有任何人会验证他们是否确实还在工作。

多一个:

最后,我相信,如果您打开“ Active Directory用户和计算机”并展开AD查询工具,则可以创建一个查询,其中详细说明了您要查找的内容。

0
Greg Meehan