Jak zidentyfikować nieaktywne konta użytkowników w usłudze Active Directory
Dostęp pracowników do systemów firmowych powinien być dezaktywowany po odejściu pracownika. Jednak w spokojniejszych okresach, zwłaszcza w małych firmach bez dedykowanego zespołu IT, kwestia ta jest pomijana częściej niż powinna. W ten sposób powstają konta, które mogą stanowić zagrożenie dla bezpieczeństwa – nie wspominając o niepotrzebnych kosztach licencji. Dlatego ustalenie, kto nadal korzysta z aktywnych kont, to nie tylko dobra praktyka, ale wręcz konieczność, aby utrzymać porządek. Korzystanie z programu PowerShell może to znacznie ułatwić, zwłaszcza jeśli nie masz zaawansowanego narzędzia do zarządzania. Celem jest zidentyfikowanie kont, które nie były używane od jakiegoś czasu, a następnie ewentualna dezaktywacja lub sprawdzenie ich.
Jak znaleźć nieaktywne konta użytkowników za pomocą programu PowerShell
Niestety, nie zawsze od razu otrzymujemy o odejściu pracowników, zwłaszcza jeśli działy HR i IT nie współpracują ze sobą lub nie ma wdrożonej automatyzacji. Dlatego regularne sprawdzanie kont użytkowników to mądre posunięcie – pomaga wykryć te konta-widma, które jakimś cudem pozostały aktywne. Polecenie cmdlet Search-ADAccount programu PowerShell jest w tym przypadku pomocne, ponieważ może pobierać informacje bezpośrednio z usługi Active Directory. Dzięki niemu można sprawdzić, które konta nie logowały się od dawna i zdecydować, co z nimi zrobić.
Znajdź użytkowników, którzy ostatnio się nie logowali
To polecenie pomaga zidentyfikować konta, które są nadal aktywne, ale nie były używane od jakiegoś czasu. Działa, ponieważ tworzy migawkę kont, które mogą być nieaktualne, ale nie zostały jeszcze wyłączone. Polecenie sortuje również wyniki według daty ostatniego logowania, dzięki czemu najstarsze konta są wyświetlane na górze, co ułatwia przeglądanie.
Search-ADAccount -AccountInactive -UsersOnly -TimeSpan 100.00:00:00 | Where {$_. Enabled -eq "True"} | sort -property LastLogonDate -desc | ft Name, LastLogonDate, Enabled -autosizeW tym przypadku parametr -TimeSpan ogranicza wyszukiwanie do użytkowników, którzy nie logowali się przez ponad 100 dni (liczba dni może być dostosowana).Format to dni.godziny:minuty:sekundy. Szczerze mówiąc, jest to trochę dziwne, ale po opanowaniu działa poprawnie. W niektórych konfiguracjach może wymagać drobnych poprawek lub solidnego restartu komputera, na którym uruchomiono polecenie, jeśli jest uporczywe.
W praktyce ta lista pokazuje, kto był nieaktywny przez jakiś czas, dzięki czemu możesz rozważyć wyłączenie lub usunięcie tych kont. Dodatkowe punkty: możesz zmodyfikować to samo polecenie, aby identyfikować również konta komputerów — wystarczy zmienić opcję -UsersOnly na -ComputerLub utworzyć niestandardowe skrypty, aby wyczyścić stare konta urządzeń. A jeśli chcesz zaszaleć, ustaw to jako zaplanowane zadanie, które będzie wysyłać Ci raport e-mailem co tydzień lub co miesiąc, dzięki czemu zawsze będziesz wiedzieć, które konta wymagają przeglądu.
Jedno małe zastrzeżenie: w zależności od konfiguracji usługi Active Directory, uruchomienie tych poleceń może wymagać uprawnień administratora lub zainstalowania określonych modułów. Oczywiście, jeśli nie widzisz oczekiwanych rezultatów, sprawdź, czy w programie PowerShell jest załadowany moduł Active Directory — możesz to zrobić za pomocą Import-Module ActiveDirectory.
A, i ponieważ Windows musi trochę utrudniać obsługę, czasami pojawiają się fałszywe alarmy lub niektóre konta są pomijane. Pamiętaj jednak, że nie zawsze jest idealnie, więc ręczna weryfikacja po uruchomieniu skryptu to dobry pomysł.
Powiązane artykuły
Czy ten artykuł był pomocny?