Active Directory에서 비활성 사용자 계정을 식별하는 방법
직원이 퇴사하면 회사 시스템 접근 권한은 차단해야 합니다.하지만 특히 전담 IT 팀이 없는 소규모 회사에서는 이러한 관리가 소홀히 여겨지는 경우가 많습니다.그 결과, 보안 위험을 초래할 수 있는 계정이 오랫동안 남아 있게 되고, 불필요한 라이선스 비용까지 발생하게 됩니다.따라서 활성 계정을 보유한 직원을 파악하는 것은 단순히 좋은 관행일 뿐만 아니라, 시스템 보안을 유지하는 데 필수적입니다.특히 전문적인 관리 도구가 없는 경우, PowerShell을 사용하면 이 작업을 훨씬 쉽게 수행할 수 있습니다.목표는 오랫동안 사용되지 않은 계정을 식별하고, 해당 계정을 비활성화하거나 검토하는 것입니다.
PowerShell을 사용하여 비활성 사용자 계정을 찾는 방법
직원들이 퇴사할 때, 특히 인사팀과 IT팀의 협업이 원활하지 않거나 자동화 시스템이 구축되어 있지 않은 경우, 퇴사 사실을 바로 알 수 없는 경우가 많습니다.따라서 사용자 계정을 정기적으로 확인하는 것이 중요합니다.이를 통해 오랫동안 활동하지 않은 계정을 찾아낼 수 있기 때문입니다. PowerShell의 Search-ADAccount cmdlet은 Active Directory에서 직접 정보를 가져올 수 있으므로 이러한 작업에 매우 유용합니다.이 cmdlet을 사용하면 오랫동안 로그인하지 않은 계정을 확인하고 적절한 조치를 취할 수 있습니다.
최근 로그인하지 않은 사용자를 찾으세요
이 명령어는 오랫동안 사용되지 않았지만 여전히 활성화되어 있는 계정을 식별하는 데 도움이 됩니다.이 명령어가 효과적인 이유는 사용되지 않지만 아직 비활성화되지 않은 계정의 현황을 보여주기 때문입니다.또한, 마지막 로그인 날짜를 기준으로 결과를 정렬하므로 가장 오래된 계정이 상단에 표시되어 검토가 더욱 편리합니다.
Search-ADAccount -AccountInactive -UsersOnly -TimeSpan 100.00:00:00 | Where {$_. Enabled -eq "True"} | sort -property LastLogonDate -desc | ft Name, LastLogonDate, Enabled -autosize이 경우 `-TimeSpan` 매개변수는 100일 이상 로그인하지 않은 사용자만 검색 대상으로 지정합니다(일 수는 조정 가능).형식은 일.시:분:초입니다.솔직히 좀 특이하지만, 익숙해지면 안정적으로 작동하는 것 같습니다.일부 환경에서는 설정이 제대로 되지 않거나, 명령이 실행되는 컴퓨터를 재부팅해야 할 수도 있습니다.
실질적으로 이 목록은 오랫동안 활동이 없는 사용자를 보여주므로 해당 계정을 비활성화하거나 삭제하는 것을 고려할 수 있습니다.추가 팁: 동일한 명령어를 수정하여 컴퓨터 계정도 식별할 수 있습니다.-UsersOnly를 -ComputerOrCreate로 변경하면 오래된 장치 계정을 정리하는 사용자 지정 스크립트를 만들 수 있습니다.더 나아가, 이 기능을 예약 작업으로 설정하여 매주 또는 매월 보고서를 이메일로 받아볼 수 있도록 하면 검토 시기가 지난 계정을 항상 확인할 수 있습니다.
한 가지 주의할 점은 AD 설정에 따라 이러한 명령을 실행하려면 관리자 권한이나 특정 모듈이 설치되어 있어야 할 수 있다는 것입니다.그리고 예상한 결과가 나오지 않으면 PowerShell에 Active Directory 모듈이 로드되었는지 확인하세요.이는 `.` 명령어를 사용하여 확인할 수 있습니다 Import-Module ActiveDirectory.
아, 그리고 윈도우가 일부 기능을 불필요하게 복잡하게 만들어 놓은 탓에, 때때로 오탐이 발생하거나 일부 계정을 놓칠 수 있습니다.완벽하지 않을 수 있으니 스크립트 실행 후 수동으로 검토하는 것이 좋습니다.
관련 기사
이 글이 도움이 되었나요?