Data ostatniego logowanie użytkownika w Active Directory, pomoże ustalić, które konta użytkownika są nieaktywne. Informacja przydatna w dużych środowiskach, aby usuwać zbędne konta użytkowników, które nie są już potrzebne.
Za każdym razem, gdy logujesz się do komputera połączonego z usługą Active Directory, data i godzina ostatniego logowania użytkownika są zapisywane w atrybucie użytkownika o nazwie lastlogon.
Atrybut lastlogon to najdokładniejszy sposób sprawdzania czasu ostatniego logowania użytkowników usługi Active Directory. Istnieje również atrybut LastLogonTimeStamp, ale będzie to 9-14 dni za bieżącą datą. Zamierzonym celem LastLogonTimeStamp jest pomoc w identyfikacji nieaktualnych kont użytkowników i komputerów. Atrybut lastlogon nie jest replikowany do innych kontrolerów domeny, więc musisz sprawdzić ten atrybut na każdym kontrolerze domeny, aby znaleźć najnowszy czas.
LastLogonTimeStamp w Active Directory
Pierwsza opcja, która pozwala na sprawdzenie daty ostatniego logowania, znajduje się w przystawce Active Directory Users and Computers.
Wybierz z menu opcję View a następnie włącz opcję Advanced Features.
Przejdź do OU, która zawiera listę użytkowników, np. Users. Wybierz użytkownika, którego datę ostatniego logowania chcesz sprawdzić. Następnie kliknij prawym klawiszem myszy, aby wybrać opcję Properties.
Przejdź na zakładkę Attribute Editor.
Odnajdujemy dwa parametry lastLogon oraz lastLogonTimestamp.
PowerShell i pobranie parametrów lastLogon / lastLogonTimestamp
Powyższy sposób nie jest zbyt wydajny, dla 2-3 kont będzie wystarczający, jednak gdy potrzebujesz sprawdzić kilkaset kont? Tutaj z pomocą przychodzi PowerShell i cmdlet o nazwie Get-ADUser. Dodanie kilku parametrów, które wylistuje wszystkie konta użytkowników, dzięki czemu szybko poznasz daty ostatnich logowań użytkowników. Pamiętaj, aby sprawdzić konta na wszystkich kontrolerach domeny, dane te nie są synchronizowane pomiędzy kontrolerami.
Uruchom PowerShell na kontrolerze domeny, wpisując poniższe polecenie.
|
1 |
Get-ADUser -filter * -Properties "LastLogonDate" | select name, LastLogonDate |
Polecenie rozpocznie generowanie listy użytkowników wraz z datą ostatniego logowania.
Podsumowanie
Zarówno przystawka Active Directory jak i PowerShell przychodzą z pomocą, gdy szukasz listy kont wraz z datami ostatniego logowania. PowerShell pozwoli na wygenerowanie pliku z listą użytkowników oraz datami ostatniego logowania.
Dziękuję Ci, za poświęcony czas na przeczytanie tego artykułu. Jeśli był on dla Ciebie przydatny, to gorąco zachęcam Cię do zapisania się na mój newsletter, jeżeli jeszcze Cię tam nie ma. Proszę Cię także o “polubienie” mojego bloga na Facebooku oraz kanału na YouTube – pomoże mi to dotrzeć do nowych odbiorców. Raz w tygodniu (niedziela punkt 17.00) otrzymasz powiadomienia o nowych artykułach / projektach zanim staną się publiczne. Możesz również pozostawić całkowicie anonimowy pomysł na wpis/nagranie.
Link do formularza tutaj: https://beitadmin.pl/pomysly
Pozostaw również komentarz lub napisz do mnie wiadomość odpisuję na każdą, jeżeli Masz jakieś pytania:).
Przyda się też sprawdzenie jak dawno nie zmieniano hasła:
# —————————————————————————-
# Find users in Active Directory with a password older than 25 days.
write „—————————————————————————-”
write „Users in Active Directory with a password older than 25 days:”
$Days = 25
$Time = [DateTime]::Today.AddDays(-$Days)
Get-ADUser -Filter '(PasswordLastSet -lt $Time)’ -Properties PasswordLastSet -SearchBase „OU=….,DC=pl” | ft Name,SamAccountName,PasswordLastSet
Dzięki, przyda się i takie podejście.