Inaktive Benutzerkonten im Active Directory anzeigen

Wenn sich Benutzer lange nicht mehr in einem Windows-Netzwerk anmelden, dann ist dies oft ein Zeichen dafür, dass Mitarbeiter die Firma verlassen haben und diese Tatsache der IT nicht bekannt wurde. Um sich solche inaktiven Konten anzeigen zu lassen, gibt es mehrere Methoden, von denen die meisten gewisse Nachteile haben.

Besonders leicht überleben nicht mehr benötigte Konten, wenn externe Projektmitarbeiter eigene Zugänge erhalten und schon nach kurzer Zeit ihren Auftrag erfüllt haben, so dass ein ständiges Kommen und Gehen das Management des Verzeichnisses erschwert. Verwaiste Accounts bergen Sicherheitsrisiken, deswegen sollten sich Administratoren immer wieder nachsehen, welche User sich schon länger nicht mehr angemeldet haben.

Abfrage mit dsquery

Windows bietet mit seinen Bordmitteln prinzipiell die Möglichkeit, das AD auf inaktive Benutzerkonten abzufragen. Zuständig ist dafür das Kommandozeilen-Tool dsquery. Im dafür vorgesehenen Aufruf gibt man den Zeitraum, seit dem sich ein User nicht mehr angemeldet haben soll, in Wochen an:

dsquery user -inactive 6

Dieses Beispiel sucht nach allen Accounts, die seit mehr als 6 Wochen inaktiv waren.

Die Ergebnisse derartiger Abfragen sind insgesamt relativ ungenau, weil das Attribut lastLogonTimeStamp (eingeführt mit Windows Server 2003) generell wenig verlässlich ist. Bei dsquery kommt noch hinzu, dass es Konten, deren User sich noch nie angemeldet haben, überhaupt nicht erfassen kann.

Kostenlose Tools

Freundlicher zu bedienen als dsquery sind Tools von Drittanbietern, die zudem meist auch bessere Ergebnisse liefern. Zwei beliebte kostenlose Werkzeuge stammen von NetWrix und SolarWinds, sie heißen Inactive Users Tracker bzw. Inactive User Account Removal Tool.

NetWrix Inactive Users Tracker

Die freie Software von NetWrix ist eine abgespeckte Version des kommerziellen Produkts, wobei alle Funktionen der Vollversion auf der Benutzeroberfläche angezeigt werden, aber das Anklicken eines nicht unterstützten Features einen Dialog öffnet, der auf die Vorzüge des kostenpflichtigen Tools hinweist.

Die Möglichkeiten der Free Edition beschränken sich auf das Anzeigen der verwaisten Konten, alle weitergehenden Operationen sind ihr vorenthalten. Ein Nachteil der Software besteht zudem darin, dass sie nur periodische Reports zu bestimmten Uhrzeiten erzeugt (standardmäßig um 03:00), aber keine unmittelbaren Ergebnisse liefert.

SolarWinds Inactive User Account Removal Tool

Dagegen ist Inactive User Account Removal Tool von SolarWinds genau auf die Aufgabe zugeschnitten, inaktive Konten zu finden und sie zu beseitigen. Im Gegensatz zu dsquery findet es auch solche, an denen sich noch nie jemand angemeldet hat.

In der Ergebnisliste kann man jeden Eintrag über eine Checkbox aus- bzw. abwählen und so festlegen, welche Konten im nächsten Schritt entfernt werden sollen. Bei sehr vielen inaktiven Konten wird dieses Verfahren allerdings etwas umständlich.

Ein Nachteil des Tools von SolarWinds besteht darin, dass es nur einzelne Domain-Controller abfragen kann. Da das Attribut lastLogonTimeStamp standardmäßig nur alle 14 Tage zwischen den DCs repliziert wird, können je nach kontaktiertem Controller größere Abweichungen auftreten. Aus dem Inactive Users Tracker von NetWrix geht dagegen nicht hervor, ob er nur einen oder mehrere DCs berücksichtigt.

Abfrage per PowerShell

Wenn man auf Nummer sicher gehen möchte, dass alle DCs abgefragt werden, dann hilft dabei die PowerShell. Die eigentliche Anfrage an das Verzeichnis erfolgt über das Cmdlet Get-ADdUser, das nach dem Aufruf von

Import-Module ActiveDirectory

zur Verfügung steht. Möchte man die Suche nur auf bestimmte OUs eingrenzen und den Zeitraum seit dem letzten Anmelden auf dem Server und nicht auf dem Client filtern lassen, dann wird diese Aufgabe schnell kompliziert. Dieser Beitrag auf einem TechNet-Blog zeigt, wie man dabei vorgehen soll und liefert zudem ein Beispiel-Script, mit dem man inaktive Konten beseitigen kann.

Allerdings beschränkt sich auch hier der Autor auf die Konsultierung eines einzelnen DC. Möchte man alle Controller einer Domäne berücksichtigen, dann kann man sie über das Cmdlet Get-ADDomainController ermitteln. Das TechNet-Script müsste man dann so anpassen, dass es in einer Schleife über alle DCs iteriert.