Como posso encontrar usuários inativos desde antes do nível funcional do domínio ser elevado para 2003?

Question

Como posso encontrar usuários inativos desde antes do nível funcional do domínio ser elevado para 2003?

#1 resposta do (3 votos)
#2 resposta do (1 votos)

2

Estou tentando eliminar contas inativas e descobri que a maioria das contas estava inativa desde antes de o nível funcional do nosso domínio ser elevado para 2003. O atributo lastLogonTimestamp é <Not Set> em todas essas contas, e DSQuery User -inactive # não os retornará.

Como posso encontrar essas contas inativas?

Se eu recuperar uma lista de contas com o lastLogonTimestamp <Not Set> , a lista será um indicador confiável de uma conta inativa?

active-directory windows-server-2003 windows-server-2000

por Tanner Faulkner 23.01.2013 / 22:02

2 respostas

1

OldCmp funciona fora do lastLogonTimeStamp, mas também pode funcionar fora do pwdLastSet, por isso, se você tem usuários que não definiram sua senha para sempre (e supondo que você precise de alterações de senha), que podem funcionar (editar) para validar sua consulta ou aquela que o MDMarra está recomendando.

por 23.01.2013 / 23:05

Tags active-directory windows-server-2003 windows-server-2000

CentOS 6.2 sendmail: como controlar o número de ip usado ao retransmitir mensagens para mx.google.com Não é possível conectar-se ao SMTP com mais de 587

score 3 · Accepted Answer

Isso é do meu telefone, então me perdoe se houver pequenos erros de sintaxe:

get-aduser -Filter lastlogontimestamp -eq $null -properties lastlogontimestamp

Deve retroceder o que você está procurando. Ter um valor nulo para LastLogonTimestamp significa que a conta não está conectada desde que o DFL foi gerado, portanto, essa é uma maneira confiável de procurá-los, como você já deve ter percebido.

Você também deve poder usar o recurso Consultas Salvas do ADUC para procurar por isso, embora eu não tenha certeza da sintaxe exata que você precisaria para procurar um atributo nulo - eu prefiro o PowerShell.