पिछली बार एक AD उपयोगकर्ता ने लॉग इन किया है?

मैंने देखा है कि कंपनी के वास्तविक कर्मचारियों की तुलना में हमारे पास सक्रिय निर्देशिका में अधिक उपयोगकर्ता हैं।

क्या कई सक्रिय निर्देशिका खातों की जाँच करने और यह देखने का एक सरल तरीका है कि क्या ऐसे कुछ खाते हैं जो कुछ समय के लिए उपयोग नहीं किए गए हैं? इससे मुझे यह निर्धारित करने में मदद मिलेगी कि क्या कुछ खातों को अक्षम या हटा दिया जाना चाहिए।

O'Reiley की सक्रिय निर्देशिका रसोई की किताब अध्याय 6 में एक स्पष्टीकरण देती है:

6.28.1 समस्या: आप यह निर्धारित करना चाहते हैं कि उपयोगकर्ताओं ने हाल ही में लॉग ऑन नहीं किया है।

6.28.2 समाधान

6.28.2.1 एक ग्राफिकल यूजर इंटरफेस का उपयोग करना

1. सक्रिय निर्देशिका उपयोगकर्ता और कंप्यूटर स्नैप-इन खोलें।
2. बाएँ फलक में, डोमेन पर राइट-क्लिक करें और ढूँढें का चयन करें।
3. बगल में, सामान्य क्वेरी का चयन करें।
4. अंतिम लॉगऑन के बाद के दिनों के साथ दिनों की संख्या का चयन करें।
5. अब खोजें बटन पर क्लिक करें।

6.28.2.2 कमांड-लाइन इंटरफ़ेस का उपयोग करना

dsquery उपयोगकर्ता -inactive <NumWeeks>

अधिक जानकारी प्राप्त करने के लिए, नुस्खा 6.28 देखें

यह लिपि http://synjunkie.blogspot.com/2008/08/powershell-finding-unused-ad-accounts.html से उत्पन्न हुई ; यह URL अब 7 दिसंबर 2015 तक काम नहीं करता है। आप इस जानकारी को CSV फ़ाइल में आउटपुट कर सकते हैं, जिसे आप एक्सेल में देख / फ़िल्टर कर सकते हैं।

get-qaduser * -sizelimit 0 | select -property name,accountexpires,pass*,accountisdisabled,lastlog*,canonicalname | export-csv -path d:\Passwords.csv

यह ध्यान देने योग्य है कि प्रत्येक डोमेन नियंत्रक पर संग्रहीत अंतिम लॉगऑन समय डोमेन नियंत्रकों के बीच दोहराया नहीं जाता है, वास्तव में दो विशेषताएं हैं जो अंतिम लॉगऑन समय को संग्रहीत करती हैं, एक को दोहराया जाता है लेकिन केवल हर 14 (मुझे लगता है)। यदि आपके लिए एक सटीक समय महत्वपूर्ण है, तो मैं तीसरे भाग के उपकरण का उपयोग करूंगा जो प्रत्येक डोमेन नियंत्रक (हमारे पास 90!) पर सवाल उठाता है, हमने ट्रू लास्ट लॉगऑन नामक टूल का उपयोग किया है , मैं इसकी सिफारिश कर सकता हूं।

मैं इसके लिए सोमरसॉफ्ट के एक फ्रीवेयर टूल DumpSec का उपयोग करता हूं: बासी कंप्यूटर खातों को खोजने के लिए DumpSec Usefull :)

जैसा कि आप इस प्रक्रिया से गुजरते हैं, यह दस्तावेज़, आपके द्वारा चलाए गए दोनों चरणों और आपके द्वारा अक्षम / हटाए गए खातों के साथ। कुछ बिंदु पर एक ऑडिटर आपसे पूछेगा कि आप पुराने खातों को कैसे हटाते हैं, और आपको प्रलेखन की आवश्यकता होगी।

एक बहुत ही त्वरित और गंदा तरीका / सुझाव:

प्रत्येक संदिग्ध खाते के पासवर्ड को समाप्त करने के लिए सेट करें और अगले लॉगिन पर रीसेट की आवश्यकता है। प्रत्येक खाते के विवरण क्षेत्र में एक तारांकन चिह्न रखें। एक या एक सप्ताह प्रतीक्षा करें, अपने फ़्लैग किए गए खातों को फिर से जांचें कि उनमें से किसे पासवर्ड रीसेट की आवश्यकता है। अपराधियों को अक्षम करें, हेल्पडेस्क कॉल की प्रतीक्षा करें, जो छुट्टी पर थे उन्हें फिर से सक्षम करें।

और एक:

वैकल्पिक रूप से आप अपने एचआर / कार्मिक विभाग को संदिग्ध उपयोगकर्ताओं की एक सूची भेज सकते हैं और देख सकते हैं कि उनमें से कोई भी सत्यापित करेगा कि वे वास्तव में कार्यरत हैं।

एक और:

अंत में, मेरा मानना ​​है कि यदि आप "सक्रिय निर्देशिका उपयोगकर्ता और कंप्यूटर" खोलते हैं और AD क्वेरी उपकरण का विस्तार करते हैं, तो आप एक क्वेरी बना सकते हैं, जो आपके लिए देख रहे हैं।