última vez que un usuario de AD ha iniciado sesión?

26

Me di cuenta de que tenemos en Active Directory más usuarios de los que la compañía tiene empleados reales.

¿Existe una manera simple de verificar varias cuentas de Active Directory y ver si hay cuentas que no se han utilizado durante un tiempo? Esto debería ayudarme a determinar si algunas cuentas deben deshabilitarse o eliminarse.

active-directory 
Jindrich
fuente
Si usa AD Snapin en la MMC y puede ver el objeto de usuario, obtendrá una pestaña para "editor de atributos" en la que podrá ver el atributo de "lastLogin".
bgmCoder

Respuestas:

22

El libro de cocina de Active Directory de O'Reiley da una explicación en el capítulo 6:

6.28.1 Problema: desea determinar qué usuarios no han iniciado sesión recientemente.

6.28.2 Solución

6.28.2.1 Uso de una interfaz gráfica de usuario

  1. Abra el complemento Usuarios y equipos de Active Directory.
  2. En el panel izquierdo, haga clic derecho en el dominio y seleccione Buscar.
  3. Junto a Buscar, seleccione Consultas comunes.
  4. Seleccione el número de días junto a Días desde el último inicio de sesión.
  5. Haga clic en el botón Buscar ahora.

6.28.2.2 Usar una interfaz de línea de comandos

dsquery user -inactive <NumWeeks>

Para obtener más información, vea la receta 6.28

Alexey Shatygin
fuente
1
+1 He estado evitando eliminar el AD porque no sabía cómo. Gracias.
cop1152
No cuente con cuentas obsoletas que siempre están inactivas. A menudo, las cuentas de "prueba" se crean para su uso por pruebas unitarias o como cuentas secundarias para usuarios válidos. Puede parecer que estas cuentas no están inactivas, pero deben eliminarse ya que proporcionan acceso no auditado a los sistemas.
Chris Nava
1
Esto solo funciona si el bosque / dominio es 2003 nativo o superior, por cierto. Antes de 2003, el DC tenía su propio registro del último inicio de sesión para cada usuario. Dumpsec (mencionado a continuación) es bastante bueno para obtener el último inicio de sesión verdadero enviando spam a cada controlador de dominio y reúne una lista de quién inició sesión en cada DC.
Marty
@marty Con suerte, no quedan demasiadas instalaciones anteriores a 2003, ya que Server 2003 es el final de la vida.
Joel Coel
6

Este script se originó en http://synjunkie.blogspot.com/2008/08/powershell-finding-unused-ad-accounts.html ; esta URL ya no funciona a partir del 7 de diciembre de 2015. Puede enviar esta información a un archivo CSV, que puede ver / filtrar en Excel.

get-qaduser * -sizelimit 0 | select -property name,accountexpires,pass*,accountisdisabled,lastlog*,canonicalname | export-csv -path d:\Passwords.csv
JohnW
fuente
Suponiendo que no desea #Type blah blah blahal comienzo de su archivo CSV, use el -notypeparámetro enexport-csv
northben
La URL está rota. :(
Signal15
La URL está rota, pero aún puede acceder a un archivo: Powershell - Búsqueda de cuentas de AD no utilizadas
PeteWiFi
3

Vale la pena señalar que el último tiempo de inicio de sesión almacenado en cada controlador de dominio no se replica entre los controladores de dominio, de hecho, hay dos atributos que almacenan el último tiempo de inicio de sesión, uno se replica pero solo cada 14 (creo). Si un momento preciso es importante para usted, usaría una herramienta de tercera parte que consulta cada controlador de dominio (¡tenemos 90!), Hemos usado una herramienta llamada True Last Logon , puedo recomendarlo.

Scott Johansen
fuente
0

Utilizo DumpSec, una herramienta gratuita de Somarsoft para esto: DumpSec Útil para encontrar cuentas de computadora obsoletas :)

0

A medida que avanza en este proceso, documente, con los pasos que ejecuta y las cuentas que deshabilita / elimina. En algún momento, un auditor le preguntará cómo eliminar cuentas antiguas y necesitará la documentación.

BillN
fuente
0

Un método / sugerencia muy rápido y sucio:

Configure la contraseña de cada cuenta sospechosa para que caduque y requiera restablecerla en el próximo inicio de sesión. Coloque un asterisco en el campo de descripción de cada cuenta. Espere aproximadamente una semana, vuelva a verificar sus cuentas marcadas para ver cuáles aún necesitan restablecer la contraseña. Inhabilite a los delincuentes, espere las llamadas al servicio de asistencia y vuelva a habilitar los que estaban de vacaciones

Otro:

Alternativamente, también puede enviar una lista de usuarios sospechosos a su departamento de recursos humanos / personal y ver si alguno de ellos verificará que, de hecho, todavía están empleados.

Uno mas:

Finalmente, creo que si abre "Usuarios y equipos de Active Directory" y expande la herramienta de consulta AD, puede crear una consulta que detalle lo que está buscando.

Greg Meehan
fuente
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.