Inaktive Active Directory Benutzer finden und deaktivieren

Symbolbild Team
CC0 | Pixabay.com

Seit längerem inaktive Active Directory Benutzer finden, per Mail melden und optional sofort deaktivieren.

Warum?

Aus Sicherheitsgründen ist es nicht ratsam, wenn nicht mehr benötigte Benutzerkonten weiterhin verwendet werden können. Nicht länger benötigte Benutzerkonten sollten schnellstmöglich deaktiviert werden. Ehemalige und aktuelle MitarbeiterInnen oder Hacker könnten sonst die Benutzerkonten unerlaubt verwenden und damit auf Daten innerhalb der Active Directory Domäne zugreifen, diese ändern oder sogar löschen.

PowerShell-Script

Mit dem folgenden PowerShell-Script werden Benutzer die sich seit 30 Tagen nicht angemeldet haben (Active Directory Attribute „LastLogonDate“) ermittelt, an eine Mailadresse gemeldet und bei Bedarf auch gleich deaktiviert ($deaktivieren = $true). Im Idealfall wird das PowerShell-Script regelmäßig über die Windows Aufgabenplanung ausgeführt. Auf dem ausführenden System müssen Domänen-Administrator-Rechte und die Active Directory PowerShell Commandlets vorhanden sein. Außerdem müssen natürlich vorher die Optionen an die vorhandene Active Directory Domäne und den jeweiligen Bedürfnissen angepasst werden:

Get-ADuser auf Microsoft.com

Mehr Sicherheitstipps

IT-Security-Basics für Unternehmen

nach oben