Menemukan akun yang bermasalah
Anda harus memeriksa lingkungan Active Directory Domain Services untuk akun yang belum masuk untuk jangka waktu tertentu, atau yang memiliki kata sandi tanpa kedaluwarsa.
Akun pengguna yang tidak aktif biasanya menunjukkan seseorang yang telah meninggalkan organisasi dan proses organisasi gagal menghapus atau menonaktifkan akun tersebut. Akun tersebut mungkin juga awalnya dibagikan oleh staf TI, tetapi tidak lagi digunakan. Akun tambahan ini menunjukkan peluang tambahan bagi pengguna yang tidak sah untuk mendapatkan akses ke sumber daya jaringan Anda.
Akun dengan kata sandi tetap kurang aman dibandingkan akun yang diharuskan memperbarui kata sandinya secara berkala. Jika pengguna pihak ketiga memperoleh kata sandi pengguna, pengetahuan tersebut hanya berlaku hingga pengguna memperbarui kata sandi. Jika Anda mengonfigurasi akun dengan kata sandi yang tidak harus diperbarui pengguna secara berkala, maka calon penjahat cyber dapat memiliki akses ke jaringan Anda tanpa batas waktu. Memastikan pembaruan kata sandi secara teratur sangat penting untuk akun yang sangat istimewa.
Saat Anda menemukan akun yang belum masuk selama beberapa hari tertentu, Anda dapat menonaktifkan akun tersebut. Menonaktifkannya memungkinkan Anda untuk mengaktifkan akun kembali jika pemilik akun kembali aktif. Setelah Anda menemukan akun yang dikonfigurasi dengan kata sandi yang tidak kedaluwarsa, Anda dapat mengambil langkah-langkah untuk memastikan bahwa kebijakan pembaruan kata sandi yang sesuai diterapkan.
Catatan
Catatan: Akun pengguna dengan informasi masuk yang dibagikan oleh beberapa anggota staf TI harus dihindari, meskipun mereka memiliki kebijakan kata sandi yang kuat. Akun bersama mempersulit pelacakan individu mana yang melakukan tugas administratif tertentu.
Anda dapat menggunakan Windows PowerShell atau Pusat Administratif Active Directory Domain Services untuk menemukan pengguna yang bermasalah. Untuk menggunakan Windows PowerShell guna menemukan pengguna aktif dengan kata sandi yang diatur untuk tidak pernah kedaluwarsa, gunakan perintah berikut:
Get-ADUser -Filter {Enabled -eq $true -and PasswordNeverExpires -eq $true}
Gunakan perintah Windows PowerShell berikut untuk menemukan pengguna yang belum masuk dalam 90 hari terakhir, menggunakan Windows PowerShell:
Get-ADUser -Filter {LastLogonTimeStamp -lt (Get-Date).Adddays(-(90))-and enabled -eq $true} -Properties LastLogonTimeStamp