última vez que un usuario de AD ha iniciado sesión?

Me di cuenta de que tenemos en Active Directory más usuarios de los que la compañía tiene empleados reales.

¿Existe una manera simple de verificar varias cuentas de Active Directory y ver si hay cuentas que no se han utilizado durante un tiempo? Esto debería ayudarme a determinar si algunas cuentas deben deshabilitarse o eliminarse.

El libro de cocina de Active Directory de O'Reiley da una explicación en el capítulo 6:

6.28.1 Problema: desea determinar qué usuarios no han iniciado sesión recientemente.

6.28.2 Solución

6.28.2.1 Uso de una interfaz gráfica de usuario

1. Abra el complemento Usuarios y equipos de Active Directory.
2. En el panel izquierdo, haga clic derecho en el dominio y seleccione Buscar.
3. Junto a Buscar, seleccione Consultas comunes.
4. Seleccione el número de días junto a Días desde el último inicio de sesión.
5. Haga clic en el botón Buscar ahora.

6.28.2.2 Usar una interfaz de línea de comandos

dsquery user -inactive <NumWeeks>

Para obtener más información, vea la receta 6.28

Este script se originó en http://synjunkie.blogspot.com/2008/08/powershell-finding-unused-ad-accounts.html ; esta URL ya no funciona a partir del 7 de diciembre de 2015. Puede enviar esta información a un archivo CSV, que puede ver / filtrar en Excel.

get-qaduser * -sizelimit 0 | select -property name,accountexpires,pass*,accountisdisabled,lastlog*,canonicalname | export-csv -path d:\Passwords.csv

Vale la pena señalar que el último tiempo de inicio de sesión almacenado en cada controlador de dominio no se replica entre los controladores de dominio, de hecho, hay dos atributos que almacenan el último tiempo de inicio de sesión, uno se replica pero solo cada 14 (creo). Si un momento preciso es importante para usted, usaría una herramienta de tercera parte que consulta cada controlador de dominio (¡tenemos 90!), Hemos usado una herramienta llamada True Last Logon , puedo recomendarlo.

Utilizo DumpSec, una herramienta gratuita de Somarsoft para esto: DumpSec Útil para encontrar cuentas de computadora obsoletas :)

A medida que avanza en este proceso, documente, con los pasos que ejecuta y las cuentas que deshabilita / elimina. En algún momento, un auditor le preguntará cómo eliminar cuentas antiguas y necesitará la documentación.

Un método / sugerencia muy rápido y sucio:

Configure la contraseña de cada cuenta sospechosa para que caduque y requiera restablecerla en el próximo inicio de sesión. Coloque un asterisco en el campo de descripción de cada cuenta. Espere aproximadamente una semana, vuelva a verificar sus cuentas marcadas para ver cuáles aún necesitan restablecer la contraseña. Inhabilite a los delincuentes, espere las llamadas al servicio de asistencia y vuelva a habilitar los que estaban de vacaciones

Otro:

Alternativamente, también puede enviar una lista de usuarios sospechosos a su departamento de recursos humanos / personal y ver si alguno de ellos verificará que, de hecho, todavía están empleados.

Uno mas:

Finalmente, creo que si abre "Usuarios y equipos de Active Directory" y expande la herramienta de consulta AD, puede crear una consulta que detalle lo que está buscando.