Notă
Accesul la această pagină necesită autorizare. Puteți încerca să vă conectați sau să modificați directoarele.
Accesul la această pagină necesită autorizare. Puteți încerca să modificați directoarele.
De ce să luați în considerare acest lucru
Peste 10% din conturile de utilizator din Active Directory au fost detectate ca inactive (învechite), pe baza ultimei modificări a parolei sau a ultimului marcaj temporal de conectare al utilizatorului. Conturile de utilizator învechite din Active Directory reprezintă un risc semnificativ de securitate, deoarece ar putea fi utilizate de un actor rău intenționat sau de un fost angajat. Aceste conturi inactive consumă, de asemenea, spațiu recuperabil în baza de date.
Urmăriți un inginer client explicând problema
Context și cele mai bune practici
Active Directory conține un cont pentru fiecare utilizator. În timp, utilizatorii părăsesc organizația și este posibil ca acele conturi de utilizator să nu fie eliminate din Active Directory. Conturile de utilizator învechite sunt o problemă de securitate semnificativă, deoarece foștii angajați și atacatorii cibernetici externi ar putea folosi aceste conturi pentru a ataca organizația. Conturile învechite consumă, de asemenea, spațiu în baza de date a directorului care ar putea fi recuperat.
Conturile de utilizator au un atribut numit PasswordLastSet, care înregistrează ultima dată când un utilizator și-a schimbat parola. Deoarece PasswordLastSet este un atribut replicat, trebuie interogat un singur controler de domeniu din fiecare domeniu.
Windows Server 2003 a introdus un nou atribut numit lastLogonTimeStamp pentru a ajuta la identificarea conturilor potențial învechite. Acest atribut se activează în domeniul setat la nivelul funcțional Windows Server 2003, Windows Server 2008, Windows Server 2008R2, Windows Server 2012 sau Windows Server 2012R2. Spre deosebire de atributul lastLogon, care a fost disponibil de la Windows NT 4.0, lastLogonTimeStamp este replicat de fiecare dată când este actualizat. Interogarea acestui atribut este mai convenabilă, deoarece trebuie interogat un singur controler de domeniu din fiecare domeniu.
Pentru a găsi conturile, rulați un script care interoghează Active Directory pentru conturi de utilizator inactive. În modulul Active Directory pentru Windows PowerShell, comanda Search-ADAccount –AccountInactive –UsersOnly returnează toate conturile de utilizator inactive. Utilizați comutatoarele -DateTime sau -TimeSpan pentru a restrânge data la care computerul s-a conectat ultima dată.
Notă: Lastlogontimestamp nu este replicat de fiecare dată când cineva se conectează. Consultați Înțelegerea atributelor contului AD - LastLogon, LastLogonTimeStamp și LastLogonDate, la https://social.technet.microsoft.com/wiki/contents/articles/22461.understanding-the-ad-account-attributes-lastlogon-lastlogontimestamp-and-lastlogondate.aspx.
Gestionarea conturilor de utilizator învechite se rezumă adesea la implementarea unor procese eficiente de deprovisionare. Cu toate acestea, este posibil ca utilizatorii să nu poată lucra și, prin urmare, să nu se conecteze pentru o perioadă lungă de timp. De asemenea, este posibil ca conturile de serviciu să nu se conecteze pentru perioade lungi de timp. În consecință, ar trebui să încorporați mai multe verificări și să aveți măsuri de protecție pentru a preveni dezactivarea sau ștergerea conturilor care sunt încă în uz.
Acțiuni sugerate
Ar trebui să efectuați verificări regulate pentru a căuta orice conturi de utilizator care nu și-au schimbat parolele în ultimele șase luni, apoi să dezactivați și să eliminați acele conturi din Active Directory.
Rulați un script în fiecare domeniu care interoghează Active Directory pentru conturile de utilizator în care vechimea parolei este peste o anumită perioadă. În modulul Active Directory pentru Windows PowerShell, rulați următorul script pentru a lista conturile de utilizator în care parola nu s-a modificat în ultimele șase luni.
$d = [DateTime]::Today.AddDays(-180)
Get-ADUser -Filter '(PasswordLastSet -lt $d) -or (LastLogonTimestamp -lt $d)' -Properties PasswordLastSet,LastLogonTimestamp | ft Name,PasswordLastSet,@{N="LastLogonTimestamp"; E={[datetime]::FromFileTime($_. LastLogonTimestamp)}}
După ce conturile învechite sunt identificate, este recomandat să dezactivați acele conturi de utilizator, să așteptați câteva săptămâni și apoi să ștergeți conturile dacă nu au fost raportate probleme.