Besonders in großen Netzwerken stellt die Dokumentation einen nicht unerheblichen Teil der täglichen Arbeit eines Systemadministrators dar. In der Eile passiert es dann hin und wieder, dass ein ausgetauschter Rechner nicht sofort aus dem Active Directory entfernt wird und später oft als Leiche im System zurückbleibt. Daher ist es wichtig, inaktive Computerkonten ermitteln zu können, damit die Liste verwaister Einträge im Active Directory nicht immer weiter anwächst.



Per Powershell – Inaktive Computerkonten ermitteln

Der  beschriebene Fall stellt einen häufigen Grund dar, verwaiste Einträge im Active Directory zu suchen. Zwar sind unbenutzte Computerkonten kein so hohes Sicherheitsrisiko wie inaktive Benutzerkonten, dennoch möchte man als Administrator ein sauberes und aufgeräumtes Active Directory haben.

Den Zeitpunkt der letzten Anmeldung eines Benutzer an einem Computer lässt sich über die GUI nur über die Attribute des Computerkontos einsehen. Hierüber aber sämtliche inaktive Computerkonten ermitteln zu wollen, könnte in größeren Umgebungen aber ein tagefüllendes und anstrengendes Vorhaben sein.

Schneller geht es und wer hätte das gedacht, mit der Windows PowerShell.

Länger nicht verwendete Active Directory Accounts suchen

Eine Liste, die für jeden Computer im Active Directory das Datum der letzten Anmeldung ausgibt, kann mit dem nachfolgenden Befehl erstellt werden. Das lässt Rückschlüsse auf verwaiste Computerkonten zu. Ebenso auf Rechner, die möglicherweise von ihren Anwendern nie ausgeschaltet werden (soll es ja auch geben):

Get-ADComputer -Filter * -Properties * | Sort LastLogonDate | FT Name, LastLogonDate -Autosize

Über ein weiteres CMDLet (Search-ADAccount) lässt sich eine noch feiner abgestimmte Abfrage zusammenstellen. Diese gibt nur die Computer an, deren letztes Anmeldedatum x Tage zurückliegt. Darüberhinaus kann die Ausgabe auf die nicht deaktivierten Computerkonten beschränkt werden.

In einer Liveumgebung sieht die Abfrage auf nicht benutzte Computerkonten folgendermaßen aus:

Inaktive Computerkonten ermitteln

Über die PowerShell lassen sich schnell alle inaktive Computerkonten ermitteln und damit verwaiste Einträge im Active Directory aufspüren.

In dem Beispiel werden nur die Computerkonten angezeigt, die länger als 100 Tage (-TimeSpan 100:00:00:00) nicht angemeldet waren und deren Status auf „Aktiviert“ steht. Computer, deren Domänenkonto bereits deaktiviert wurde, werden nicht mit angezeigt. Der Wert TimeSpan lässt sich nach Wunsch anpassen ( -TimeSpan Tage:Stunden:Minuten:Sekunden).

Wie man sieht, führt die Nutzung der Windows PowerShell auch hier schnell zu aussagekräftigen Ergebnissen. Im Handumdrehen lassen sich nicht benutzte Computerkonten finden. Diese können anschließend geprüft und deaktiviert werden. Das erhöht die Sicherheit und die Ordnung im Active Directory.

Ebenfalls interessant:

Wenn Dir diese Information weitergeholfen hat, kannst Du mir das gerne in die Kommentare schreiben. Ebenfalls freue ich mich über jede kleine Spende, die Du diesem Blog ganz unkompliziert über PayPalMe zukommen lassen kannst.
Wer lieber einen Obolus in Bitcoins dalassen mag, dann bitte an 17zAdJSDYkukxeWFfSu5qjnmMtKamWzRuD.
Vielen Dank.

René Albarus

Ich heiße René Albarus und bin seit 2002 beruflich im Bereich der Systemadministration tätig. Da auch ich einen Teil meines Wissens IT-Blogs im Internet verdanke, ist es für mich selbstverständlich, dass ich Lösungsansätze und Anleitungen in diesem Blog weitergebe.
René Albarus
1 Antwort

Dein Kommentar

An Diskussion beteiligen?
Hinterlasse uns Deinen Kommentar!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.