Ungenutzte AD-Benutzer & Computer-Konten finden

Symbolbild Wolkenkratzer
CC0 | Pixabay.com

Dieses Powershell-Script findet ungenutzte AD-Benutzer & Computer-Konten und sendet das Ergebnis per E-Mail an den Administrator.

Einsatzzweck

Ungenutzte Benutzer- und Computerkonten können die IT-Sicherheit gefährden und sollten daher deaktiviert oder gelöscht werden. Mit diesem Powershell-Script können seit längerem nicht verwendete Konten gefunden und per Mail gemeldet werden. Die Inaktivität wird über das Active-Directory-Attribut „LastLogonDate“ erkannt. Die Inaktivität kann in den Script-Optionen individuell festgelegt werden. Idealerweise wird dieses Script regelmäßig als geplante Windows-Aufgabe ausgeführt.

Ungenutzte AD-Benutzer & Computer-Konten finden

Zur Ausführung wird das Active Directory Powershell Modul und entsprechende Rechte (z.B. Domain-Admin-Rechte) benötigt.

Im Bereich „### Optionen ###“ können die Inaktivitätskriterien (min. inaktive Tage) und Maileinstellungen gesetzt werden.

Die Variablen $lastLogonDaysComputer und $lastLogonDaysUser legen die erforderliche Inaktivität in Tagen fest (Achtung: Der Wert wird mit angegeben!). In meinem Fall werden Konten mit 30-tägiger Inaktivität in der Liste ausgegeben.

Mehr Infos zu: Get-ADComputer und Get-ADUser

Mehr zum Thema IT-Sicherheit

IT-Security-Basics für Unternehmen

nach oben