última vez que um usuário do AD efetuou login?

26

Percebi que temos no Active Directory mais usuários do que a empresa possui funcionários reais.

Existe uma maneira simples de verificar várias contas do Active Directory e verificar se existem contas que não foram usadas por um tempo? Isso deve me ajudar a determinar se algumas contas devem ser desativadas ou excluídas.

active-directory 
Jindrich
fonte
Se você usar o AD Snapin no MMC e conseguir visualizar o objeto de usuário, receberá uma guia para "editor de atributos" na qual poderá ver o atributo para "lastLogin".
bgmCoder

Respostas:

22

O Livro de Receitas do Active Directory de O'Reiley fornece uma explicação no capítulo 6:

6.28.1 Problema: você deseja determinar quais usuários não fizeram logon recentemente.

6.28.2 Solução

6.28.2.1 Usando uma interface gráfica do usuário

  1. Abra o snap-in Usuários e Computadores do Active Directory.
  2. No painel esquerdo, clique com o botão direito do mouse no domínio e selecione Localizar.
  3. Ao lado de Localizar, selecione Consultas comuns.
  4. Selecione o número de dias ao lado de Dias desde o último logon.
  5. Clique no botão Localizar agora.

6.28.2.2 Usando uma interface de linha de comando

dsquery user -inactive <NumWeeks>

Para obter mais informações, consulte a receita 6.28

Alexey Shatygin
fonte
1
+1 Estive evitando capinar o AD porque não sabia como. Obrigado.
cop1152
Não conte com contas desatualizadas sempre inativas. Geralmente, as contas de "teste" são criadas para uso em testes de unidade ou como contas secundárias para usuários válidos. Essas contas podem não parecer inativas, mas devem ser excluídas, pois fornecem acesso não auditado aos sistemas.
Chris Nava
1
Isso só funciona se a floresta / domínio for 2003 nativo ou superior, a propósito. Antes de 2003, o controlador de domínio tinha seu próprio registro do último logon para cada usuário. O Dumpsec (mencionado abaixo) é muito bom para obter o último logon verdadeiro enviando spam para cada controlador de domínio e reúne uma lista de quem efetuou login em cada controlador de domínio.
Marty
@marty Felizmente, não restam muitas instalações anteriores a 2003, pois o Server 2003 está no fim da vida útil.
Joel Coel
6

Este script teve origem em http://synjunkie.blogspot.com/2008/08/powershell-finding-unused-ad-accounts.html ; esse URL não funciona mais em 7 de dezembro de 2015. Você pode enviar essas informações para um arquivo CSV, que você pode exibir / filtrar no Excel.

get-qaduser * -sizelimit 0 | select -property name,accountexpires,pass*,accountisdisabled,lastlog*,canonicalname | export-csv -path d:\Passwords.csv
JohnW
fonte
Supondo que você não queira #Type blah blah blahno início do seu arquivo CSV, use o -notypeparâmetro emexport-csv
northben
URL está quebrado. :(
Signal15
A URL é quebrada, mas você ainda pode acessar um arquivo do mesmo: Powershell - Finding AD não utilizado Contas
PeteWiFi
3

Vale ressaltar que o último horário de logon armazenado em cada controlador de domínio não é replicado entre os controladores de domínio; na verdade, existem dois atributos que armazenam o último horário de logon, um é replicado, mas apenas a cada 14 (eu acho). Se um tempo preciso for importante para você, eu usaria uma ferramenta de terceira parte que consulta cada controlador de domínio (temos 90!), Usamos uma ferramenta chamada True Last Logon , posso recomendar.

Scott Johansen
fonte
0

Eu uso o DumpSec, uma ferramenta freeware da Somarsoft para isso: DumpSec Útil para encontrar contas antigas de computadores :)

0

À medida que você avança nesse processo, documente-o, com as etapas executadas e as contas que você desativa / exclui. Em algum momento, um auditor perguntará como você remove contas antigas e precisará da documentação.

BillN
fonte
0

Um método / sugestão muito rápido e sujo:

Defina a senha de cada conta suspeita como expirada e exija redefinição no próximo login. Coloque um asterisco no campo de descrição de cada conta. Aguarde mais ou menos uma semana, verifique novamente suas contas sinalizadas para ver quais ainda precisam ser redefinidas com a senha. Desative os infratores, aguarde chamadas do suporte técnico, reative os que estavam de férias.

Outro:

Como alternativa, você também pode enviar uma lista de usuários suspeitos ao seu departamento de RH / pessoal e verificar se algum deles verificará se, de fato, ainda está empregado.

Mais um:

Por fim, acredito que, se você abrir "Usuários e computadores do Active Directory" e expandir a ferramenta Consulta do AD, poderá criar uma consulta que detalha o que está procurando.

Greg Meehan
fonte
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.