Inaktive Benutzerkonten im Active Directory ermitteln

Scheiden Mitarbeiter aus einem Unternehmen aus, so sind sämtliche Zugänge der betroffenen Personen zu deaktivieren. Das dies in der Praxis oft anders aussieht, muss ich tagtäglich mit ansehen. Gerade Unternehmen, die keine eigene IT-Abteilung beschäftigen, vergessen oft Ihrem IT-Partner Bescheid zu geben. Dadurch entstehen erhebliche Sicherheitslücken. In diesem Artikel beschreibe ich deshalb, wie sich schnell inaktive Benutzerkonten ermitteln lassen.



Inaktive Benutzerkonten ermitteln per PowerShell

Durch nicht deaktivierte Benutzerkonten entstehen zwei Probleme: Jedes aktive Benutzerkonto benötigt eine Zugriffslizenz für die Windows Domäne (CAL). Dabei ist es völlig egal, ob das Benutzerkonto genutzt wird, oder nicht. Im Falle einer Lizenzprüfung könnte dies dazu führen, dass längst ausgeschiedene Mitarbeiter, deren Zugang nicht deaktiviert wurde, weiterhin eine Zugriffslizenz „in Anspruch nehmen“.

Das weitaus größere Problem, ist aber der Zugang selbst. Wird das Benutzerkonto im Active Directory nicht deaktiviert, kann es jederzeit verwendet werden. Eine Anmeldung mit dem Benutzernamen ist also weiterhin möglich, egal durch welchen Mitarbeiter. Da VPN-Zugänge oft auch mit dem Benutzerkonto im Active Directory verknüpft sind, bleiben auch diese oft aktiv. Heißt: Der ehemalige Mitarbeiter wäre in der Lage, von extern weiter auf sämtliche Daten zuzugreifen.

Nicht deaktivierte Benutzerkonten auslesen

Als externer Dienstleister wird man oft nicht sofort über das Ausscheiden von Mitarbeitern informiert. Aus diesem Grund bietet es sich an, routinemäßig inaktive Benutzerkonten ermitteln zu können. An einfachsten funktioniert das per PowerShell. Mit dem CMDlet Search-ADAccount lassen sich Informationen über alle Konten im Active Directory auslesen.

(In-)aktive, aber nicht deaktivierte Benutzer können mit dem folgenden Befehl identifiziert werden:

Search-ADAccount -AccountInactive -UsersOnly -TimeSpan 100.00:00:00 |
Where {$_.Enabled -eq "True"} |
sort -property LastLogonDate -desc | 
ft Name, LastLogonDate, Enabled -autosize

Über den Parameter TimeSpan grenzen wir die Suche derart ein, dass nur die Benutzer angezeigt werden, deren letzte Anmeldung mehr als x Tage zurückliegt. In dem Beispiel sind es 100 Tage. (Format: -TimeSpan Tage.Stunden:Minuten:Sekunden).

In der Praxis sieht das dann folgendermaßen aus:

Inaktive Benutzerkonten ermitteln
Mit der PowerShell lassen sich schnell inaktive Benutzerkonten ermitteln. Sortiert nach Datum und Status können damit verwaiste Benutzerkonten entdeckt werden.

Anhand dieser Auflistung ist man in der Lage, noch aktive Benutzerkonten zu identifizieren, mit denen sich aber bereits seit längerer Zeit keiner mehr angemeldet hat..Mit einer kleinen Abwandlung lassen sich damit auch inaktive Computerkonten ermitteln.

Integriert in eine wiederkehrende Windows Aufgabe, könnte man sich damit auch regelmäßig per E-Mail über nicht deaktivierte Benutzerkonten informieren lassen.

Ebenfalls interessant:

Dieser Artikel ist wie alle anderen auf dieser Seite kostenlos für Dich und ich hoffe, ich konnte Dir weiterhelfen. Wer möchte, kann diesem Blog eine kleine Aufmerksamkeit in Form einer kleinen Spende (PayPal) oder über die Amazon Wunschliste zukommen lassen.

Schreibe einen Kommentar