AD kullanıcısı en son ne zaman giriş yaptı?


26

Active Directory'de, şirketin gerçek çalışanlarından daha fazla kullanıcımız olduğunu fark ettim.

Birden fazla Active Directory hesabını kontrol etmenin ve bir süredir kullanılmamış hesapların olup olmadığını görmenin basit bir yolu var mı? Bu, bazı hesapların devre dışı bırakılıp kapatılmayacağını belirlememe yardımcı olur.


MMC'de AD Snapin kullanıyorsanız ve kullanıcı nesnesini görüntüleyebiliyorsanız, "lastLogin" için özniteliği görebileceğiniz "öznitelik düzenleyici" sekmesini alırsınız.
bgmCoder

Yanıtlar:


22

O'Reiley'nin Active Directory Yemek Kitabı bölüm 6'da bir açıklama yapar:

6.28.1 Sorun: Son zamanlarda hangi kullanıcıların giriş yapmadığını belirlemek istiyorsunuz.

6.28.2 Çözüm

6.28.2.1 Grafiksel bir kullanıcı arayüzü kullanma

  1. Active Directory Kullanıcıları ve Bilgisayarları ek bileşenini açın.
  2. Sol bölmede, etki alanına sağ tıklayın ve Bul'u seçin.
  3. Bul'un yanında, Ortak Sorgular'ı seçin.
  4. Son oturum açmadan bu yana Günler yanındaki gün sayısını seçin.
  5. Şimdi Bul düğmesini tıklayın.

6.28.2.2 Bir komut satırı arayüzü kullanma

dsquery user -inactive <NumWeeks>

Daha fazla bilgi almak için, bkz. Tarif 6.28


1
+1 AD’yi ayıklamaktan kaçınıyorum, çünkü nasıl yapacağımı bilmiyordum. Teşekkürler.
cop1152,

Her zaman etkin olmayan modası geçmiş hesaplara güvenmeyin. Genellikle "test" hesapları, ünite testleri tarafından kullanılmak üzere veya geçerli kullanıcılar için ikincil hesaplar olarak oluşturulur. Bu hesaplar etkin görünmüyor olabilir ancak sistemlere denetlenmeyen erişim sağladıklarından silinmeleri gerekir.
Chris Nava,

1
Bu, bu arada orman / etki alanı 2003 Yerel veya üstü ise çalışır. 2003'ten önce DC'nin her kullanıcı için son giriş bilgilerini içeren bir kaydı vardı. Dumpsec (aşağıda belirtilen), her etki alanı denetleyicisini spam yaparak en son gerçek oturum açma işlemine son derece iyi gelir ve her DC'de oturum açanların listesini bir araya getirir.
marty,

@marty Umarım, Server 2003'ün ömrü sona erdiği için 2003'ten fazla yükleme kalmamıştır.
Joel Coel

6

Bu komut dosyası, http://synjunkie.blogspot.com/2008/08/powershell-finding-unused-ad-accounts.html ; bu URL artık 7 Aralık 2015'ten itibaren kullanılmamaktadır. Bu bilgiyi Excel'de görüntüleyebileceğiniz / filtreleyebileceğiniz bir CSV dosyasına verebilirsiniz.

get-qaduser * -sizelimit 0 | select -property name,accountexpires,pass*,accountisdisabled,lastlog*,canonicalname | export-csv -path d:\Passwords.csv

#Type blah blah blahCSV dosyanızın başında istemediğinizi -notypeexport-csv
varsayalım

URL bozuk. :(
Signal15

URL bozuldu ama yine de bunun bir arşivini erişebilirsiniz: Powershell - Bulma Kullanılmayan AD Hesapları
PeteWiFi

3

Her etki alanı denetleyicisinde depolanan son oturum açma zamanının etki alanı denetleyicileri arasında çoğaltılmadığına dikkat çekmek önemlidir, aslında son oturum açma zamanını depolayan iki özellik vardır, biri çoğaltılır, ancak yalnızca her 14 (sanırım). Doğru bir zaman sizin için önemliyse, her etki alanı denetleyicisini sorgulayan üçüncü bir parça aracı kullanırdım (90'ımız var!), True Last Logon adlı bir araç kullandık , tavsiye ederim.


0

: Ben DumpSec, bunun için SomarSoft gelen ücretsiz aracı kullanmak DumpSec bayat bilgisayar hesaplarını bulmak için Faydalı :)


0

Bu süreçten geçtikçe, uyguladığınız her iki adımı ve devre dışı bıraktığınız / sildiğiniz hesapları belgeleyin. Bir noktada bir denetçi size eski hesapları nasıl kaldırdığınızı soracak ve belgelere ihtiyacınız olacak.


0

Çok hızlı ve kirli bir yöntem / öneri:

Her şüpheli hesabın şifresinin süresinin dolmasını ve bir sonraki oturum açışında sıfırlanmasını gerektirecek şekilde ayarlayın. Her hesabın açıklama alanına bir yıldız işareti yerleştirin. Bir hafta kadar bekleyin, hangilerinin hala şifre sıfırlaması gerektiğini görmek için bayraklı hesaplarınızı tekrar kontrol edin. Suçluları devre dışı bırakın, yardım masası çağrılarını bekleyin, tatilde olanları yeniden etkinleştirin.

Bir diğeri:

Alternatif olarak, İK / personel departmanınıza şüpheli kullanıcıların bir listesini gönderebilir ve bunların herhangi birinin hala çalışmakta olduklarını doğrulayıp onaylamadıklarını görebilirsiniz.

Bir tane daha:

Son olarak, "Active Directory Kullanıcıları ve Bilgisayarları" nı açıp AD Sorgu aracını genişletirseniz, aradığınızı ayrıntılandıran bir sorgu oluşturabileceğinize inanıyorum.

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.