Tags: Active Directory, Identity-Management
Wenn sich Benutzer lange nicht mehr in einem Windows-Netzwerk anmelden, dann ist dies oft ein Zeichen dafür, dass Mitarbeiter die Firma verlassen haben und diese Tatsache der IT nicht bekannt wurde. Um sich solche inaktiven Konten anzeigen zu lassen, gibt es mehrere Methoden, von denen die meisten gewisse Nachteile haben.
Besonders leicht überleben nicht mehr benötigte Konten, wenn externe Projektmitarbeiter eigene Zugänge erhalten und schon nach kurzer Zeit ihren Auftrag erfüllt haben, so dass ein ständiges Kommen und Gehen das Management des Verzeichnisses erschwert. Verwaiste Accounts bergen Sicherheitsrisiken, deswegen sollten sich Administratoren immer wieder nachsehen, welche User sich schon länger nicht mehr angemeldet haben.
Abfrage mit dsquery
Windows bietet mit seinen Bordmitteln prinzipiell die Möglichkeit, das AD auf inaktive Benutzerkonten abzufragen. Zuständig ist dafür das Kommandozeilen-Tool dsquery. Im dafür vorgesehenen Aufruf gibt man den Zeitraum, seit dem sich ein User nicht mehr angemeldet haben soll, in Wochen an:
dsquery user -inactive 6
Dieses Beispiel sucht nach allen Accounts, die seit mehr als 6 Wochen inaktiv waren.
Die Ergebnisse derartiger Abfragen sind insgesamt relativ ungenau, weil das Attribut lastLogonTimeStamp (eingeführt mit Windows Server 2003) generell wenig verlässlich ist. Bei dsquery kommt noch hinzu, dass es Konten, deren User sich noch nie angemeldet haben, überhaupt nicht erfassen kann.
Kostenlose Tools
Freundlicher zu bedienen als dsquery sind Tools von Drittanbietern, die zudem meist auch bessere Ergebnisse liefern. Zwei beliebte kostenlose Werkzeuge stammen von NetWrix und SolarWinds, sie heißen Inactive Users Tracker bzw. Inactive User Account Removal Tool.
NetWrix Inactive Users Tracker
Die freie Software von NetWrix ist eine abgespeckte Version des kommerziellen Produkts, wobei alle Funktionen der Vollversion auf der Benutzeroberfläche angezeigt werden, aber das Anklicken eines nicht unterstützten Features einen Dialog öffnet, der auf die Vorzüge des kostenpflichtigen Tools hinweist.
Die Möglichkeiten der Free Edition beschränken sich auf das Anzeigen der verwaisten Konten, alle weitergehenden Operationen sind ihr vorenthalten. Ein Nachteil der Software besteht zudem darin, dass sie nur periodische Reports zu bestimmten Uhrzeiten erzeugt (standardmäßig um 03:00), aber keine unmittelbaren Ergebnisse liefert.
SolarWinds Inactive User Account Removal Tool
Dagegen ist Inactive User Account Removal Tool von SolarWinds genau auf die Aufgabe zugeschnitten, inaktive Konten zu finden und sie zu beseitigen. Im Gegensatz zu dsquery findet es auch solche, an denen sich noch nie jemand angemeldet hat.
In der Ergebnisliste kann man jeden Eintrag über eine Checkbox aus- bzw. abwählen und so festlegen, welche Konten im nächsten Schritt entfernt werden sollen. Bei sehr vielen inaktiven Konten wird dieses Verfahren allerdings etwas umständlich.
Ein Nachteil des Tools von SolarWinds besteht darin, dass es nur einzelne Domain-Controller abfragen kann. Da das Attribut lastLogonTimeStamp standardmäßig nur alle 14 Tage zwischen den DCs repliziert wird, können je nach kontaktiertem Controller größere Abweichungen auftreten. Aus dem Inactive Users Tracker von NetWrix geht dagegen nicht hervor, ob er nur einen oder mehrere DCs berücksichtigt.
Abfrage per PowerShell
Wenn man auf Nummer sicher gehen möchte, dass alle DCs abgefragt werden, dann hilft dabei die PowerShell. Die eigentliche Anfrage an das Verzeichnis erfolgt über das Cmdlet Get-ADdUser, das nach dem Aufruf von
Import-Module ActiveDirectory
zur Verfügung steht. Möchte man die Suche nur auf bestimmte OUs eingrenzen und den Zeitraum seit dem letzten Anmelden auf dem Server und nicht auf dem Client filtern lassen, dann wird diese Aufgabe schnell kompliziert. Dieser Beitrag auf einem TechNet-Blog zeigt, wie man dabei vorgehen soll und liefert zudem ein Beispiel-Script, mit dem man inaktive Konten beseitigen kann.
Allerdings beschränkt sich auch hier der Autor auf die Konsultierung eines einzelnen DC. Möchte man alle Controller einer Domäne berücksichtigen, dann kann man sie über das Cmdlet Get-ADDomainController ermitteln. Das TechNet-Script müsste man dann so anpassen, dass es in einer Schleife über alle DCs iteriert.
Täglich Know-how für IT-Pros mit unserem Newsletter
Ähnliche Beiträge
- Notfallzugriff für Microsoft 365 (Break Glass Account) einrichten
- Identitäten für Microsoft 365: nur Cloud, synchronisiert oder föderiert
- Im Test: AD-Passwörter im Self Service zurücksetzen mit Specops uReset
- AD-Passwörter synchronisieren mit Microsoft Identitiy Manager 2016
- Benutzerkonten zwischen AD-Forests synchronisieren mit dem Microsoft Identity Manager
2 Kommentare
Hi, AducAdminPlus is a great tool you could also use.
It helps you perform all the tasks you mention for finding unused userspace and reducing it.
Please check it out at www.aducadmin.com They have free trials available.
Best, Peter
Hallo,
ich finde für diese Funktion ist das Freeware Tool LUMAX (http://www.ldapexplorer.com/de/lumax.htm) bestens geeignet!
Gruß
Alexander