마지막으로 AD 사용자가 로그인 했습니까?

회사에 실제 직원보다 많은 사용자가 Active Directory에 있음을 알았습니다.

여러 Active Directory 계정을 확인하고 한동안 사용하지 않은 계정이 있는지 확인하는 간단한 방법이 있습니까? 이를 통해 일부 계정을 비활성화 또는 삭제할지 여부를 결정하는 데 도움이됩니다.

O'Reiley의 Active Directory 요리 책은 6 장에서 설명합니다.

6.28.1 문제 : 최근에 로그온하지 않은 사용자를 확인하려고합니다.

6.28.2 해결책

6.28.2.1 그래픽 사용자 인터페이스 사용

1. Active Directory 사용자 및 컴퓨터 스냅인을 엽니 다.
2. 왼쪽 분할 창에서 도메인을 마우스 오른쪽 단추로 클릭하고 찾기를 선택하십시오.
3. 찾기 옆에있는 공통 쿼리를 선택하십시오.
4. 마지막 로그온 이후 일 수 옆의 일 수를 선택하십시오.
5. 지금 찾기 버튼을 클릭하십시오.

6.28.2.2 명령 줄 인터페이스 사용

dsquery 사용자-비활성 <NumWeeks>

자세한 정보는 레시피 6.28을 참조하십시오.

이 스크립트는 http://synjunkie.blogspot.com/2008/08/powershell-finding-unused-ad-accounts.html ; 이 URL은 2015 년 12 월 7 일부터 더 이상 작동하지 않습니다.이 정보를 CSV 파일로 출력하여 Excel에서 보거나 필터링 할 수 있습니다.

get-qaduser * -sizelimit 0 | select -property name,accountexpires,pass*,accountisdisabled,lastlog*,canonicalname | export-csv -path d:\Passwords.csv

각 도메인 컨트롤러에 저장된 마지막 로그온 시간이 도메인 컨트롤러간에 복제되지 않으며 실제로 마지막 로그온 시간을 저장하는 두 가지 특성이 있습니다. 하나는 복제되지만 14 개마다 만 발생합니다 (제 생각). 정확한 시간이 중요한 경우 각 도메인 컨트롤러를 쿼리하는 세 번째 파트 도구 (90 개가 있습니다!)를 사용하고 True Last Logon 이라는 도구를 사용 했습니다. 추천 할 수 있습니다.

나는 이것을 위해 Somarsoft의 프리웨어 도구 인 DumpSec을 사용합니다 : DumpSec Usefull은 오래된 컴퓨터 계정을 찾는 데 사용됩니다 :)

이 프로세스를 진행할 때 실행하는 단계와 비활성화 / 삭제 한 계정과 함께 프로세스를 문서화하십시오. 어떤 시점에서 감사원은 이전 계정을 제거하는 방법을 묻고 문서가 필요합니다.

매우 빠르고 더러운 방법 / 제안 :

의심되는 각 계정의 비밀번호가 만료되도록 설정하고 다음 로그인시 재설정해야합니다. 각 계정의 설명 필드에 별표를 표시하십시오. 일주일 정도 기다렸다가 신고 된 계정을 다시 확인하여 여전히 비밀번호 재설정이 필요한 계정을 확인하십시오. 위반자를 비활성화하고 헬프 데스크 전화를 기다린 후 휴가 중이었던 전화를 다시 활성화하십시오.

다른 것:

또는 의심되는 사용자 목록을 HR / 인사 부서로 보내고 그 중 한 명이라도 실제로 사용 중인지 확인할 수 있습니다.

하나 더:

마지막으로 "Active Directory 사용자 및 컴퓨터"를 열고 AD 쿼리 도구를 확장하면 원하는 것을 자세히 설명하는 쿼리를 만들 수 있다고 생각합니다.