J'ai remarqué que nous avons dans Active Directory plus d'utilisateurs que la société n'a de réels employés.
Existe-t-il un moyen simple de vérifier plusieurs comptes Active Directory et de voir s’il existe des comptes qui n’ont pas été utilisés depuis un certain temps? Cela devrait m'aider à déterminer si certains comptes doivent être désactivés ou supprimés.
Le livre de recettes Active Directory d'O'Reiley donne une explication au chapitre 6:
6.28.1 Problème: vous voulez déterminer quels utilisateurs ne se sont pas connectés récemment.
6.28.2 Solution
6.28.2.1 Utilisation d'une interface utilisateur graphique
6.28.2.2 Utilisation d'une interface de ligne de commande
dsquery user -inactive <NumWeeks>
Pour obtenir plus d'informations, voir la recette 6.28
Ce script provient de http://synjunkie.blogspot.com/2008/08/powershell-finding-unused-ad-accounts.html ; cette URL ne fonctionne plus depuis le 7 décembre 2015. Vous pouvez exporter ces informations dans un fichier CSV, que vous pouvez afficher/filtrer dans Excel.
get-qaduser * -sizelimit 0 | select -property name,accountexpires,pass*,accountisdisabled,lastlog*,canonicalname | export-csv -path d:\Passwords.csv
Il convient de noter que la dernière heure d'ouverture de session stockée sur chaque contrôleur de domaine n'est pas répliquée entre les contrôleurs de domaine, il existe en fait deux attributs qui stockent la dernière heure d'ouverture de session, un est répliqué mais seulement tous les 14 (je pense). Si un moment précis est important pour vous, j'utiliserais un outil tiers qui interroge chaque contrôleur de domaine (nous en avons 90!), Nous avons utilisé un outil appelé True Last Logon , je peux le recommander.
J'utilise DumpSec, un outil gratuit de Somarsoft pour cela: DumpSec Utile pour trouver des comptes d'ordinateur périmés :)
Au cours de ce processus, documentez-le, avec les étapes que vous exécutez et les comptes que vous désactivez/supprimez. À un moment donné, un auditeur vous demandera comment vous supprimez les anciens comptes et vous aurez besoin de la documentation.
Une méthode/suggestion très rapide et sale:
Définissez le mot de passe de chaque compte suspect pour qu'il expire et nécessite une réinitialisation lors de la prochaine connexion. Placez un astérisque dans le champ de description de chaque compte. Attendez une semaine environ, vérifiez à nouveau vos comptes marqués pour voir lesquels ont encore besoin de réinitialiser le mot de passe. Désactivez les délinquants, attendez les appels du service d'assistance, réactivez ceux qui étaient en vacances.
Un autre:
Alternativement, vous pouvez également envoyer une liste des utilisateurs suspects à votre service RH/personnel et voir si l'un d'eux vérifiera qu'ils sont en fait toujours employés.
Un de plus:
Enfin, je crois que si vous ouvrez "Utilisateurs et ordinateurs Active Directory" et développez l'outil de requête AD, vous pouvez créer une requête qui détaille ce que vous recherchez.