Scheiden Mitarbeiter aus einem Unternehmen aus, so sind sämtliche Zugänge der betroffenen Personen zu deaktivieren. Das dies in der Praxis oft anders aussieht, muss ich tagtäglich mit ansehen. Gerade Unternehmen, die keine eigene IT-Abteilung beschäftigen, vergessen oft Ihrem IT-Partner Bescheid zu geben. Dadurch entstehen erhebliche Sicherheitslücken. In diesem Artikel beschreibe ich deshalb, wie sich schnell inaktive Benutzerkonten ermitteln lassen.



Inaktive Benutzerkonten ermitteln per PowerShell

Durch nicht deaktivierte Benutzerkonten entstehen zwei Probleme: Jedes aktive Benutzerkonto benötigt eine Zugriffslizenz für die Windows Domäne (CAL). Dabei ist es völlig egal, ob das Benutzerkonto genutzt wird, oder nicht. Im Falle einer Lizenzprüfung könnte dies dazu führen, dass längst ausgeschiedene Mitarbeiter, deren Zugang nicht deaktiviert wurde, weiterhin eine Zugriffslizenz „in Anspruch nehmen“.

Das weitaus größere Problem, ist aber der Zugang selbst. Wird das Benutzerkonto im Active Directory nicht deaktiviert, kann es jederzeit verwendet werden. Eine Anmeldung mit dem Benutzernamen ist also weiterhin möglich, egal durch welchen Mitarbeiter. Da VPN-Zugänge oft auch mit dem Benutzerkonto im Active Directory verknüpft sind, bleiben auch diese oft aktiv. Heißt: Der ehemalige Mitarbeiter wäre in der Lage, von extern weiter auf sämtliche Daten zuzugreifen.

Nicht deaktivierte Benutzerkonten auslesen

Als externer Dienstleister wird man oft nicht sofort über das Ausscheiden von Mitarbeitern informiert. Aus diesem Grund bietet es sich an, routinemäßig inaktive Benutzerkonten ermitteln zu können. An einfachsten funktioniert das per PowerShell. Mit dem CMDlet Search-ADAccount lassen sich Informationen über alle Konten im Active Directory auslesen.

(In-)aktive, aber nicht deaktivierte Benutzer können mit dem folgenden Befehl identifiziert werden:

Über den Parameter TimeSpan grenzen wir die Suche derart ein, dass nur die Benutzer angezeigt werden, deren letzte Anmeldung mehr als x Tage zurückliegt. In dem Beispiel sind es 100 Tage. (Format: -TimeSpan Tage.Stunden:Minuten:Sekunden).

In der Praxis sieht das dann folgendermaßen aus:

Inaktive Benutzerkonten ermitteln

Mit der PowerShell lassen sich schnell inaktive Benutzerkonten ermitteln. Sortiert nach Datum und Status können damit verwaiste Benutzerkonten entdeckt werden.

Anhand dieser Auflistung ist man in der Lage, noch aktive Benutzerkonten zu identifizieren, mit denen sich aber bereits seit längerer Zeit keiner mehr angemeldet hat..Mit einer kleinen Abwandlung lassen sich damit auch inaktive Computerkonten ermitteln.

Integriert in eine wiederkehrende Windows Aufgabe, könnte man sich damit auch regelmäßig per E-Mail über nicht deaktivierte Benutzerkonten informieren lassen.

Ebenfalls interessant:

Es freut mich, wenn ich Dir mit diesem Artikel helfen konnte.
Wer möchte, kann diesem Blog eine kleine Aufmerksamkeit in Form einer kleinen Spende (PayPal) oder über die Amazon Wunschliste zukommen lassen.

René Albarus

Ich heiße René Albarus und bin seit 2002 beruflich im Bereich der Systemadministration tätig. Da auch ich einen Teil meines Wissens IT-Blogs im Internet verdanke, ist es für mich selbstverständlich, dass ich Lösungsansätze und Anleitungen in diesem Blog weitergebe.
René Albarus

Letzte Artikel von René Albarus (Alle anzeigen)

0 Kommentare

Dein Kommentar

An Diskussion beteiligen?
Hinterlasse uns Deinen Kommentar!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.