Come identificare gli account utente inattivi in ​​Active Directory

L’accesso dei dipendenti ai sistemi aziendali dovrebbe essere disattivato quando qualcuno se ne va. Ma in periodi di minore attività, soprattutto nelle piccole aziende senza un team IT dedicato, questo aspetto viene trascurato più spesso del dovuto.È così che si finisce per avere account inutilizzati che potrebbero rappresentare un rischio per la sicurezza, per non parlare dei costi di licenza inutili. Quindi, scoprire chi ha ancora account attivi non è solo una buona pratica; è essenziale per mantenere la situazione sotto controllo. L’utilizzo di PowerShell può semplificare notevolmente le cose, soprattutto se non si dispone di uno strumento di gestione avanzato. L’obiettivo è identificare gli account che non vengono utilizzati da un po’ di tempo, per poi eventualmente disattivarli o rivederli.

Come trovare gli account utente inattivi con PowerShell

Quando i dipendenti se ne vanno, purtroppo, non sempre ne veniamo informati subito, soprattutto se Risorse Umane e IT non sono sincronizzati o se non è presente alcuna automazione. Ecco perché controllare regolarmente gli account utente è una mossa intelligente: aiuta a individuare quegli account fantasma che in qualche modo sono rimasti attivi. Il cmdlet Search-ADAccount di PowerShell è un valido aiuto in questo caso, perché può estrarre informazioni direttamente da Active Directory. Tramite questo, è possibile vedere quali account non hanno effettuato l’accesso per anni e decidere cosa farne.

Trova gli utenti che non hanno effettuato l’accesso di recente

Questo comando aiuta a identificare gli account ancora abilitati ma non utilizzati da tempo. Funziona perché fornisce un’istantanea degli account che potrebbero essere obsoleti ma non ancora disattivati. Il comando ordina anche i risultati in base alla data dell’ultimo accesso, in modo da visualizzare quelli più vecchi in alto, semplificando la revisione.

Search-ADAccount -AccountInactive -UsersOnly -TimeSpan 100.00:00:00 | Where {$_. Enabled -eq "True"} | sort -property LastLogonDate -desc | ft Name, LastLogonDate, Enabled -autosize

In questo caso, il parametro -TimeSpan limita la ricerca agli utenti che non hanno effettuato l’accesso per più di 100 giorni (è possibile modificare i giorni).Il formato è giorni.ore:minuti:secondi. Onestamente, è un po’ strano, ma sembra funzionare in modo coerente una volta che ci si prende la mano. In alcune configurazioni, potrebbe essere necessario un piccolo ritocco o un riavvio del computer che esegue il comando se risulta ostinato.

In pratica, questo elenco mostra chi è stato inattivo per un po’, così puoi valutare di disabilitare o rimuovere quegli account. Un vantaggio: puoi modificare lo stesso comando anche per identificare gli account dei computer: basta cambiare -UsersOnly in -ComputerOrCreate, creando script personalizzati per ripulire i vecchi account dei dispositivi. E se vuoi fare un figurone, imposta questa opzione come attività pianificata per ricevere un report via email settimanalmente o mensilmente, così saprai sempre quali account sono in ritardo per la revisione.

Un piccolo avvertimento: a seconda della configurazione di Active Directory, l’esecuzione di questi comandi potrebbe richiedere privilegi di amministratore o l’installazione di moduli specifici. E, naturalmente, se non si ottengono i risultati previsti, verificare che PowerShell abbia caricato il modulo Active Directory: è possibile farlo con Import-Module ActiveDirectory.

Oh, e poiché Windows deve rendere le cose un po’ più difficili del necessario, a volte si ottengono falsi positivi o si perdono alcuni account. Tieni presente che non è sempre perfetto, quindi una revisione manuale dopo l’esecuzione dello script è una buona idea.

---

---