Como posso encontrar usuários inativos desde antes do nível funcional do domínio ser elevado para 2003?

2

Estou tentando eliminar contas inativas e descobri que a maioria das contas estava inativa desde antes de o nível funcional do nosso domínio ser elevado para 2003. O atributo lastLogonTimestamp é <Not Set> em todas essas contas, e DSQuery User -inactive # não os retornará.

Como posso encontrar essas contas inativas?

Se eu recuperar uma lista de contas com o lastLogonTimestamp <Not Set> , a lista será um indicador confiável de uma conta inativa?

    
por Tanner Faulkner 23.01.2013 / 22:02

2 respostas

3

Isso é do meu telefone, então me perdoe se houver pequenos erros de sintaxe:

get-aduser -Filter lastlogontimestamp -eq $null -properties lastlogontimestamp

Deve retroceder o que você está procurando. Ter um valor nulo para LastLogonTimestamp significa que a conta não está conectada desde que o DFL foi gerado, portanto, essa é uma maneira confiável de procurá-los, como você já deve ter percebido.

Você também deve poder usar o recurso Consultas Salvas do ADUC para procurar por isso, embora eu não tenha certeza da sintaxe exata que você precisaria para procurar um atributo nulo - eu prefiro o PowerShell.

    
por 23.01.2013 / 23:03
1

OldCmp funciona fora do lastLogonTimeStamp, mas também pode funcionar fora do pwdLastSet, por isso, se você tem usuários que não definiram sua senha para sempre (e supondo que você precise de alterações de senha), que podem funcionar (editar) para validar sua consulta ou aquela que o MDMarra está recomendando.

    
por 23.01.2013 / 23:05