Besonders in großen Netzwerken stellt die Dokumentation einen nicht unerheblichen Teil der täglichen Arbeit eines Systemadministrators dar. In der Eile passiert es dann hin und wieder, dass ein ausgetauschter Rechner nicht sofort aus dem Active Directory entfernt wird und später oft als Leiche im System zurückbleibt. Daher ist es wichtig, inaktive Computerkonten ermitteln zu können, damit die Liste verwaister Einträge im Active Directory nicht immer weiter anwächst.
Per Powershell – Inaktive Computerkonten ermitteln
Der beschriebene Fall stellt einen häufigen Grund dar, verwaiste Einträge im Active Directory zu suchen. Zwar sind unbenutzte Computerkonten kein so hohes Sicherheitsrisiko wie inaktive Benutzerkonten, dennoch möchte man als Administrator ein sauberes und aufgeräumtes Active Directory haben.
Den Zeitpunkt der letzten Anmeldung eines Benutzer an einem Computer lässt sich über die GUI nur über die Attribute des Computerkontos einsehen. Hierüber aber sämtliche inaktive Computerkonten ermitteln zu wollen, könnte in größeren Umgebungen aber ein tagefüllendes und anstrengendes Vorhaben sein.
Schneller geht es – und wer hätte das gedacht – mit der Windows PowerShell.
Länger nicht verwendete Active Directory Accounts suchen
Eine Liste, die für jeden Computer im Active Directory das Datum der letzten Anmeldung ausgibt, kann mit dem nachfolgenden Befehl erstellt werden. Das lässt Rückschlüsse auf verwaiste Computerkonten zu. Ebenso auf Rechner, die möglicherweise von ihren Anwendern nie ausgeschaltet werden (soll es ja auch geben):
Get-ADComputer -Filter * -Properties * | Sort LastLogonDate | FT Name, LastLogonDate -AutosizeÜber ein weiteres CMDLet (Search-ADAccount) lässt sich eine noch feiner abgestimmte Abfrage zusammenstellen. Diese gibt nur die Computer an, deren letztes Anmeldedatum x Tage zurückliegt. Darüberhinaus kann die Ausgabe auf die nicht deaktivierten Computerkonten beschränkt werden.
Search-ADAccount -AccountInactive -ComputersOnly -TimeSpan 100.00:00:00 |
Where {$_.Enabled -eq "True"} |
sort -property LastLogonDate -desc |
ft Name, LastLogonDate, Enabled -autosizeIn einer Liveumgebung sieht die Abfrage auf nicht benutzte Computerkonten folgendermaßen aus:
In dem Beispiel werden nur die Computerkonten angezeigt, die länger als 100 Tage (-TimeSpan 100:00:00:00) nicht angemeldet waren und deren Status auf „Aktiviert“ steht. Computer, deren Domänenkonto bereits deaktiviert wurde, werden nicht mit angezeigt. Der Wert TimeSpan lässt sich nach Wunsch anpassen ( -TimeSpan Tage:Stunden:Minuten:Sekunden).
Wie man sieht, führt die Nutzung der Windows PowerShell auch hier schnell zu aussagekräftigen Ergebnissen. Im Handumdrehen lassen sich nicht benutzte Computerkonten finden. Diese können anschließend geprüft und deaktiviert werden. Das erhöht die Sicherheit und die Ordnung im Active Directory.
Ebenfalls interessant:
- Alias erstellen in Windows Server 2019
- PowerShell Skript ausführen
- DFS-Migration auf Domänencontrollern durchführen
Dieser Artikel ist wie alle anderen auf dieser Seite kostenlos für Dich und ich hoffe, ich konnte Dir weiterhelfen. Wer möchte, kann diesem Blog eine kleine Aufmerksamkeit in Form einer kleinen Spende (PayPal) oder über die Amazon Wunschliste zukommen lassen.
Sehr schön, danke! Das werde ich halbjährig bei unseren Kunden durchführen, damit das AD immer schön sauber ist.
Danke – hilft mir sehr, Ordnung zu halten