Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Почему это достойно внимания
Более 10 процентов учетных записей пользователей в Active Directory были признаны неактивными (устаревшими), на основе последнего момента изменения пароля или последней метки времени входа пользователя. Устаревшие учетные записи пользователей в Active Directory подвергают вашу безопасность значительному риску, потому что могут быть использованы злоумышленником или бывшим сотрудником. Кроме того, такие неактивные учетные записи потребляют повторно используемое пространство базы данных.
Посмотрите, как инженер по работе с клиентами объясняет проблему
Контекст и рекомендации
Active Directory содержит учетную запись для каждого пользователя. Со временем пользователи покидают организацию, и учетные записи этих пользователей могут не пройти удаление из Active Directory. Устаревшие учетные записи пользователей являются серьезной проблемой с точки зрения безопасности, так как бывшие сотрудники и внешние кибер-злоумышленники могут использовать эти учетные записи для совершения атаки на организацию. Устаревшие учетные записи также занимают место в базе данных каталогов, которые можно повторно использовать.
У учетных записей пользователей есть атрибут под названием PasswordLastSet, куда записывается последний раз, когда пользователь изменил свой пароль. Поскольку PasswordLastSet является реплицированным атрибутом, необходимо опрашивать лишь один контроллер домена в каждом домене.
Windows Server 2003 представила новый атрибут под названием lastLogonTimeStamp, чтобы помочь в выявлении потенциально устаревших учетных записей. Этот атрибут активируется в домене, установленном на режим работы Windows Server 2003, Windows Server 2008, Windows Server 2008R2, Windows Server 2012 или Windows Server 2012R2. В отличие от атрибута lastLogon, который был доступен с Windows NT 4.0, lastLogonTimeStamp реплицируется при каждом своем обновлении. Запрос этого атрибута более удобен, потому что необходимо опрашивать только один контроллер домена в каждом домене.
Чтобы найти нужные учетные записи, запустите скрипт, опрашивающий Active Directory на предмет наличия неактивных учетных записей пользователей. В модуле Active Directory для Windows PowerShell команда Search-ADAccount -AccountInactive -UsersOnly возвращает все неактивные учетные записи пользователей. Используйте переключатели -DateTime или -TimeSpan, чтобы сузить дату, когда был произведен последний вход.
Примечание. Атрибут Lastlogontimestamp не реплицируется каждый раз, когда кто-то входит в систему. См. Общие сведения об атрибутах учетной записи AD — LastLogon, LastLogonTimeStamp и LastLogonDate по адресу https://social.technet.microsoft.com/wiki/contents/articles/22461.understanding-the-ad-account-attributes-lastlogon-lastlogontimestamp-and-lastlogondate.aspx.
Работа с устаревшими учетными записями пользователей часто сводится к внедрению эффективных процессов отзыва данных. Однако не исключено, что пользователи по тем или иным причинам могут оказаться неспособны работать и, следовательно, входить в систему в течение длительного периода времени. Учетные записи служб также могут не входить в систему в течение длительного времени. Поэтому следует включить несколько проверок и предусмотреть меры, предотвращающие отключение или удаление учетных записей, которые все еще используются.
Рекомендуемые действия
Следует выполнять регулярные проверки на предмет учетных записей пользователей, которые не меняли свои пароли за последние шесть месяцев и затем отключать и удалять эти учетные записи из Active Directory.
Выполняйте в каждом домене скрипт, запрашивающий у Active Directory учетные записи пользователей с возрастом пароля более некоторого определенного времени. В модуле Active Directory для Windows PowerShell запустите следующий скрипт, чтобы получить список учетных записей пользователей, для которых пароль не менялся в последние шесть месяцев.
$d = [DateTime]::Today.AddDays(-180)
Get-ADUser -Filter '(PasswordLastSet -lt $d) -or (LastLogonTimestamp -lt $d)' -Properties PasswordLastSet,LastLogonTimestamp | ft Name,PasswordLastSet,@{N="LastLogonTimestamp";E={[datetime]::FromFileTime($_.LastLogonTimestamp)}}
После выявления устаревших учетных записей рекомендуется отключить эти учетные записи пользователей, подождать несколько недель, а затем удалить учетные записи, если не было сообщений о проблемах.