Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Por que Considerar isso
Mais de 10% das contas de usuário no Active Directory foram detectadas como inativas (obsoletas), com base na última vez em que a senha foi alterada ou no carimbo de data/hora do último logon do usuário. Contas de usuários obsoletas no Active Directory são um risco de segurança significativo porque podem ser usadas por alguém mal-intencionado ou por um ex-funcionário. Essas contas inativas também consomem um espaço de banco de dados que é recuperável.
Assista à explicação de um Engenheiro de Clientes sobre o problema
Contexto e Práticas Recomendadas
O Active Directory contém uma conta para cada usuário. Com o tempo, os usuários deixam a organização e essas contas de usuário podem não ser removidas do Active Directory. Contas de usuário obsoletas são um problema de segurança significativo, visto que os ex-funcionários e invasores cibernéticos externos podem usar essas contas para atacar a organização. Contas obsoletas também usam espaço no banco de dados do diretório que pode ser recuperado.
As contas de usuário têm um atributo chamado PasswordLastSet, que registra a última vez que um usuário alterou sua senha. Como o PasswordLastSet é um atributo replicado, apenas um controlador de domínio em cada domínio precisa ser consultado.
O Windows Server 2003 introduziu um novo atributo, chamado de lastLogonTimeStamp, para ajudar na identificação de contas potencialmente obsoletas. Este atributo é ativado no domínio definido como Windows Server 2003, Windows Server 2008, Windows Server 2008R2, Windows Server 2012 ou no nível funcional do Windows Server 2012R2. Ao contrário do atributo lastLogon, que está disponível desde o Windows NT 4.0, o lastLogonTimeStamp é replicado toda vez que é atualizado. Consultar este atributo é mais conveniente, pois apenas um controlador de domínio em cada domínio deve ser consultado.
Para localizar as contas, execute um script que consulta o Active Directory sobre contas de usuário inativas. No módulo do Active Directory para o Windows PowerShell, o comando Search-ADAccount –AccountInactive –UsersOnly retorna todas as contas de usuário inativas. Use as opções -DateTime ou -TimeSpan para refinar a busca da data em que o computador foi conectado pela última vez.
Observação: Lastlogontimestamp não é replicado toda vez que alguém faz logon. Consulte Entendendo os atributos da Conta do AD - LastLogon, LastLogonTimeStamp e LastLogonDate em https://social.technet.microsoft.com/wiki/contents/articles/22461.understanding-the-ad-account-attributes-lastlogon-lastlogontimestamp-and-lastlogondate.aspx.
Lidar com contas de usuário obsoletas muitas vezes se resume a implementar processos eficientes de desprovimento. No entanto, existe a possibilidade de que os usuários não possam trabalhar e, portanto, não efetuem logon por um longo período. Além disso, as contas de serviço podem não fazer logon por longos períodos. Em consequência, você deve incorporar várias verificações e ter proteções no local para ajudar a impedir a desabilitação ou exclusão de contas que ainda estão em uso.
Ações sugeridas
Você deve executar verificações regulares para procurar qualquer conta de usuário que não tenha alterado sua senha nos últimos seis meses e, em seguida, desativar e remover essas contas do Active Directory.
Execute um script em cada domínio que consulte o Active Directory sobre as contas de usuário em que a duração da senha está acima de um determinado período. No módulo do Active Directory para o Windows PowerShell, execute o seguinte script para listar as contas de usuário em que a senha não foi alterada nos últimos seis meses.
$d = [DateTime]::Today.AddDays(-180)
Get-ADUser -Filter '(PasswordLastSet -lt $d) -or (LastLogonTimestamp -lt $d)' -Properties PasswordLastSet,LastLogonTimestamp | ft Name,PasswordLastSet,@{N="LastLogonTimestamp";E={[datetime]::FromFileTime($_.LastLogonTimestamp)}}
Depois que as contas obsoletas são identificadas, é recomendável desativar essas contas de usuário, esperar várias semanas e, em seguida, excluir as contas se nenhum problema tiver sido relatado.