ครั้งล่าสุดที่ผู้ใช้โฆษณาลงชื่อเข้าใช้

26

ฉันสังเกตเห็นว่าเรามีผู้ใช้ใน Active Directory มากกว่า บริษัท ที่มีพนักงานจริง

มีวิธีง่าย ๆ ในการตรวจสอบบัญชี Active Directory หลายบัญชีและดูว่ามีบัญชีใด ๆ ที่ไม่ได้ใช้งานมาระยะหนึ่งแล้วหรือไม่? สิ่งนี้จะช่วยฉันในการพิจารณาว่าบัญชีบางอย่างควรถูกปิดใช้งานหรือถูกลบ

active-directory

— Jindrich
แหล่งที่มา

หากคุณใช้ AD Snapin ใน MMC และคุณสามารถดูวัตถุผู้ใช้คุณจะได้รับแท็บสำหรับ "attribute editor" ซึ่งคุณสามารถดูแอตทริบิวต์สำหรับ "lastLogin"

— bgmCoder

22

สมุดรายนาม Active Directory ของ O'Reiley ให้คำอธิบายในบทที่ 6:

6.28.1 ปัญหา: คุณต้องการกำหนดผู้ใช้ที่ไม่ได้เข้าสู่ระบบเมื่อเร็ว ๆ นี้

6.28.2 โซลูชัน

6.28.2.1 การใช้ส่วนต่อประสานกราฟิกกับผู้ใช้

เปิดสแน็ปอินผู้ใช้ของไดเรกทอรีที่ใช้งานอยู่และคอมพิวเตอร์
ในบานหน้าต่างด้านซ้ายคลิกขวาที่โดเมนแล้วเลือกค้นหา
ข้างค้นหาให้เลือกคำค้นหาทั่วไป
เลือกจำนวนวันนอกเหนือจากวันนับจากการเข้าสู่ระบบครั้งล่าสุด
คลิกปุ่มค้นหาเดี๋ยวนี้

6.28.2.2 การใช้อินเตอร์เฟสบรรทัดคำสั่ง

ผู้ใช้ dsquery -inactive <NumWeeks>

หากต้องการข้อมูลเพิ่มเติมดูที่สูตร 6.28

— Alexey Shatygin
แหล่งที่มา

1

+1 ฉันหลีกเลี่ยงการกำจัดวัชพืชเพราะฉันไม่รู้วิธีการ ขอบคุณ

— cop1152

อย่านับรวมกับบัญชีที่ล้าสมัยที่ไม่ได้ใช้งานเสมอ บ่อยครั้งที่บัญชี "test" ถูกสร้างขึ้นเพื่อใช้งานโดยการทดสอบหน่วยหรือเป็นบัญชีรองสำหรับผู้ใช้ที่ถูกต้อง บัญชีเหล่านี้อาจไม่ทำงาน แต่ควรจะถูกลบเนื่องจากให้การเข้าถึงระบบที่ยังไม่ผ่านการตรวจสอบ

— คริสนว

1

ใช้งานได้เฉพาะในกรณีที่ฟอเรสต์ / โดเมนเป็น Native 2003 หรือสูงกว่าโดยวิธีการ ก่อนปี 2003 DC มีบันทึกการเข้าสู่ระบบล่าสุดสำหรับผู้ใช้แต่ละคน Dumpsec (กล่าวถึงด้านล่าง) เป็น goood สวยที่จะได้รับการเข้าสู่ระบบจริงครั้งสุดท้ายโดยสแปมแต่ละตัวควบคุมโดเมนและรวบรวมรายชื่อของผู้ที่เข้าสู่ระบบเมื่อใน DC แต่ละ

— มาร์ตี้

@ smarty หวังว่าจะไม่มีการติดตั้ง pre-2003 ไว้มากเกินไปเนื่องจาก Server 2003 หมดอายุการใช้งาน

— Joel Coel

6

สคริปต์นี้มาจากhttp://synjunkie.blogspot.com/2008/08/powershell-finding-unused-ad-accounts.html ; URL นี้ใช้งานไม่ได้ตั้งแต่วันที่ 7 ธันวาคม 2558 คุณสามารถส่งออกข้อมูลนี้ไปยังไฟล์ CSV ซึ่งคุณสามารถดู / กรองใน Excel

get-qaduser * -sizelimit 0 | select -property name,accountexpires,pass*,accountisdisabled,lastlog*,canonicalname | export-csv -path d:\Passwords.csv

— JohnW
แหล่งที่มา

สมมติว่าคุณไม่ต้องการ#Type blah blah blahที่จุดเริ่มต้นของไฟล์ CSV ของคุณให้ใช้-notypeพารามิเตอร์ในexport-csv

— northben

URL เสีย :(

— Signal15

URL ใช้งานไม่ได้ แต่คุณยังสามารถเข้าถึงที่เก็บถาวรของมัน: Powershell - การค้นหาบัญชีโฆษณาที่ไม่ได้ใช้

— PeteWiFi

3

เป็นที่น่าสังเกตว่าเวลาเข้าสู่ระบบครั้งสุดท้ายที่เก็บไว้ในแต่ละโดเมนคอนโทรลเลอร์ไม่ได้ถูกจำลองแบบระหว่างตัวควบคุมโดเมน แต่จริงๆแล้วมีคุณลักษณะสองอย่างที่เก็บเวลาเข้าสู่ระบบล่าสุดหนึ่งครั้งถูกทำซ้ำ แต่ทุกๆ 14 เท่านั้น หากเวลาที่ถูกต้องเป็นสิ่งสำคัญสำหรับคุณฉันจะใช้เครื่องมือส่วนที่สามที่สอบถามแต่ละตัวควบคุมโดเมน (เรามี 90!) เราได้ใช้เครื่องมือที่ชื่อว่าTrue Last Logonฉันสามารถแนะนำได้

— Scott Johansen
แหล่งที่มา

0

ฉันใช้ DumpSec เครื่องมือฟรีแวร์จาก Somarsoft สำหรับสิ่งนี้: DumpSec Usefull เพื่อค้นหาบัญชีคอมพิวเตอร์เก่า :)

0

เมื่อคุณทำตามขั้นตอนนี้ให้บันทึกขั้นตอนทั้งสองขั้นตอนและบัญชีที่คุณปิดใช้งาน / ลบ ในบางจุดผู้ตรวจสอบบัญชีจะถามคุณว่าคุณจะลบบัญชีเก่าออกได้อย่างไรและคุณจะต้องใช้เอกสารประกอบ

— BillN
แหล่งที่มา

0

วิธี / ข้อเสนอแนะที่รวดเร็วและสกปรกมาก:

ตั้งรหัสผ่านของบัญชีที่สงสัยว่าจะหมดอายุและต้องรีเซ็ตเมื่อเข้าสู่ระบบครั้งต่อไป ใส่เครื่องหมายดอกจันในฟิลด์คำอธิบายของแต่ละบัญชี รอประมาณหนึ่งสัปดาห์ตรวจสอบบัญชีที่ถูกตั้งค่าสถานะของคุณอีกครั้งเพื่อดูว่าบัญชีใดยังต้องการการรีเซ็ตรหัสผ่าน ปิดการใช้งานผู้กระทำความผิดรอสายฝ่ายช่วยเหลือเปิดใช้งานคนที่อยู่ในช่วงพักร้อน

อีกหนึ่ง:

อีกวิธีหนึ่งคุณสามารถส่งรายชื่อผู้ใช้ที่สงสัยไปยังฝ่ายทรัพยากรบุคคล / บุคลากรของคุณและดูว่ามีผู้ใช้รายใดบ้างที่จะยืนยันว่าพวกเขาเป็นผู้ใช้จริงหรือไม่

อีกหนึ่ง:

ในที่สุดฉันเชื่อว่าหากคุณเปิด "ผู้ใช้ Active Directory และคอมพิวเตอร์" และขยายเครื่องมือ Query AD คุณสามารถสร้างแบบสอบถามที่ให้รายละเอียดสิ่งที่คุณกำลังมองหา

— เกร็กมีฮาน
แหล่งที่มา